problemas con nat usando vpn ssl

[fstrier]

Hola a todos!

Tengo un servidor en DMZ al que acceden desde la LAN, desde VPN IPsec y ahora también necesito que lo accedan desde VPN SSL, pero esto último no nos funciona.

El equipo está nateado a una direccion IP del segmento de red local (LAN), y el static fue hecho contra todas las interfases. En este concepto yo entendía que también incluía a la interfaz VPN SSL (ssl.root) pero parece que no funciona tal como esperamos. Estamos usando firmware v4.0,build0665,130514 (MR3 Patch 14), pero creo que el tema es conceptual y no relativo a una versión específica.

Se agradece cualquier idea.

[gabyrossi]

hola, no se entendio...

hablas de vpn ssl y tambien ipsec... podrias aclarar un poco...

mostras alguna config y dar mas detalles del problema a resolver.

gracias.

[fstrier]

Es un servidor con direccion IP 192.168.1.20 que estoy nateando mediante un STATIC contra todas las interfases a la direccion IP 10.20.10.20. Tanto de la red LAN como desde las redes remotas VPN IPsec lo acceden perfectamente usando la dirección publicada 10.20.10.20. Sin embargo, los clientes que entran por VPN SSL, tanto en modo portal como modo tunel, no pueden acceder al 10.20.10.20. Es como si el STATIC no funciona contra la interfaz SSL.

[gabyrossi]

hola, porque pusiste any interfaces????

que pioliticas tenes armadas en ssl para que puedas llegar a esa red?

por ssl o ipsec una vezque te conectar, directamente podes acceder a la ip ptivada, en ese caso 192.168.1.20.
saludos.

[fstrier]

hola, puse ANY porque el servidor debe ser accedido tanto desde el segmento LAN como desde las redes remotas VPN IPsec, y me conviene que lo hagan hacia esa direccion IP porque el servidor fue trasladado desde el segmento LAN donde todos los equipos son 10.20.10.x.

como te decía, todo funciona, inclusive las redes remotas por IPsec, pero desde cliente VPN SSL no puede acceder a la direccion nateada y tampoco a la real.

te adjunto la policy

[gabyrossi]

hola, la politica muestra acceso a 2 objetos que nose que son en el port8....
no puedo ayudarte mucho con eso..

pero, si el ssl estas usando modo tunel, te faltaria la politica de ssl.root, hacia la interface destino que necesitas que lleguen.-

saludos.

[fstrier]

Esos dos equipos son los nateados con static:
192.168.1.19 -> 10.20.10.19
192.168.1.20 -> 10.20.10.20

Respecto del modo, no me anda en modo tunnel ni en modo portal

La regla desde ssl.root está hecha.

[gabyrossi]

hola. es que es algo muy raro lo que queres hacer..
si estas en una vpn.. para que usar un vip? si podes apuntar directamente a la ip privada???

saludos.