Soy nuevo en Fortigate y temas de seguridad en estos equipos. Estoy aprendiendo muy basico el asunto a golpes en el trabajo actual y por lo cual requiero apoyo de alguien que haya tenido problemas como el mio en el cual en una area de la empresa (8 usuarios aprox.) no tienen acceso a Internet, los demas usuarios no tienen problemas (mas de 80 personas), Entre las pruebas que hice fue mandar ping desde el equipo del usuario con problemas a algun sitio de internet por ejemplo [Debes identificarte para poder ver enlaces.] y si me responde pero al intentar abrir la pagina desde cualquier explorador, me aparece el mensaje de que no se puede desplegar la pagina. Mi unidad Fortigate 1000C esta en modo standalone version 5.0 patch 7. Uso FSSO para logeo de usuarios asignados en Grupos de DA y vinculados a grupos en Fortigate. Cree politicas asignando accesos segun los grupos definidos, asi mismo cree una politica para la cual algun usuario que no este dentro de los grupos pueda tener acceso a internet aunque limitado, pero no funciona, sigo teniendo problemas con algunos usuarios. Quizas el problema sea en la configuracion del agente FSSO en el controlador de dominio aunque ya la revise y todo esta debidamente configurado como he estado consultando en la info de Fortinet. Alguna sugerencia para tratar mi problema??
Saludos.
Fortigate 1000, algunos usuarios no tienen acceso internet
Re: Fortigate 1000, algunos usuarios no tienen acceso intern
Hola, por lo que contas en un tema de fsso y autenticacion
si hace un a politica arriba por ip salen a internet bien?
revisa todos los post que hay sobre fsso o fsae
saludos.
si hace un a politica arriba por ip salen a internet bien?
revisa todos los post que hay sobre fsso o fsae
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Fortigate 1000, algunos usuarios no tienen acceso intern
Buenas
En este caso hay que hacer un troubleshooting y sobre los datos que va arrojando, ir pensando que puede estar mal
1) Quiza sea elemental, pero lo pregunto igual. Las personas que no pueden navegar en Internet, les pasa en cualquier estacion de trabajo? van a otra PC/Notebook y les pasa lo mismo? desde el Workstation llega al Gateway? Podras darnos una idea de como es la topologia? El fortigate esta en modo transparente?
Supongamos que la PC llega al gateway y esto pasa solo con los usuarios, podes tirar un sniffer y ver que esta haciendo el firewall, por ejemplo a un sitio con una unica IP como el sitio de la AFIP [Debes identificarte para poder ver enlaces.] - 181.224.155.144.
Tomemos como ejemplo que la PC en donde vas a hacer las pruebas es la 192.168.1.100/24
Entonces el sniffer seria algo asi (en el Firewall y por CLI por supuesto)
diagnose debug reset
(por las dudas si ya alguien tiro filtros de sniffer)
diagnose debug disable
(por las dudas si alguien habilito un sniffer...)
diagnose debug flow filter saddr 192.168.1.100
diagnose debug flow filter daddr 181.224.155.144
diagnose debug flow filter proto 6
diagnose debug flow filter dport 80
diagnose debug flow show console enable
diagnose debug flow trace start 10000
diagnose debug enable
te va a saltar un choclazo de info, esto es lo que me salta a mi:
id=36871 trace_id=1 msg="vd-root received a packet(proto=6, 192.168.1.100:15832->181.224.155.144:80) from LAN."
id=36871 trace_id=1 msg="allocate a new session-02276f01"
id=36871 trace_id=1 msg="find a route: gw-181.1.1.1 via _INTF_INTERNET"
id=36871 trace_id=1 msg="find SNAT: IP-181.1.1.11, port-44368"
id=36871 trace_id=1 msg="Allowed by Policy-1: SNAT"
id=36871 trace_id=1 msg="SNAT 192.168.1.100->181.1.1.1:44368"
Y repite...
Si salta algo distinto, postealo a ver que puede ser lo que te lo este bloqueando.
En el caso de que quieras saber si el firewall esta autenticando bien los usuarios:
diagnose debug disable
diagnose debug reset
diagnose debug application authd -1
diagnose debug enable
Fijate si con esto podes orientarte un poco, postea los resultados y vamos viendo como arreglarlo.
Espero que ayude!"
Saludos
En este caso hay que hacer un troubleshooting y sobre los datos que va arrojando, ir pensando que puede estar mal
1) Quiza sea elemental, pero lo pregunto igual. Las personas que no pueden navegar en Internet, les pasa en cualquier estacion de trabajo? van a otra PC/Notebook y les pasa lo mismo? desde el Workstation llega al Gateway? Podras darnos una idea de como es la topologia? El fortigate esta en modo transparente?
Supongamos que la PC llega al gateway y esto pasa solo con los usuarios, podes tirar un sniffer y ver que esta haciendo el firewall, por ejemplo a un sitio con una unica IP como el sitio de la AFIP [Debes identificarte para poder ver enlaces.] - 181.224.155.144.
Tomemos como ejemplo que la PC en donde vas a hacer las pruebas es la 192.168.1.100/24
Entonces el sniffer seria algo asi (en el Firewall y por CLI por supuesto)
diagnose debug reset
(por las dudas si ya alguien tiro filtros de sniffer)
diagnose debug disable
(por las dudas si alguien habilito un sniffer...)
diagnose debug flow filter saddr 192.168.1.100
diagnose debug flow filter daddr 181.224.155.144
diagnose debug flow filter proto 6
diagnose debug flow filter dport 80
diagnose debug flow show console enable
diagnose debug flow trace start 10000
diagnose debug enable
te va a saltar un choclazo de info, esto es lo que me salta a mi:
id=36871 trace_id=1 msg="vd-root received a packet(proto=6, 192.168.1.100:15832->181.224.155.144:80) from LAN."
id=36871 trace_id=1 msg="allocate a new session-02276f01"
id=36871 trace_id=1 msg="find a route: gw-181.1.1.1 via _INTF_INTERNET"
id=36871 trace_id=1 msg="find SNAT: IP-181.1.1.11, port-44368"
id=36871 trace_id=1 msg="Allowed by Policy-1: SNAT"
id=36871 trace_id=1 msg="SNAT 192.168.1.100->181.1.1.1:44368"
Y repite...
Si salta algo distinto, postealo a ver que puede ser lo que te lo este bloqueando.
En el caso de que quieras saber si el firewall esta autenticando bien los usuarios:
diagnose debug disable
diagnose debug reset
diagnose debug application authd -1
diagnose debug enable
Fijate si con esto podes orientarte un poco, postea los resultados y vamos viendo como arreglarlo.
Espero que ayude!"
Saludos
Re: Fortigate 1000, algunos usuarios no tienen acceso intern
Buenas tardes:
Gracias por sus comentarios gabyrossi e iescudero. Les comento que despues de varias pruebas entre ellas revision de politicas, crear una politica abierta como primera opcion de filtrado, actualizacion del FSSO y la revision a detalle del mismo, pruebas con el DNS de google, etc todo en conjunto con personal de Fortinet a quien contacte desesperadamente para solucionar el problema, ellos me indicaron ejecutar el comando:
execute tac report
y la salida de dicho comando se las envie para que analizaran. Soporte Fortinet concluyo comentandome que el componente wan optimization y wbargoeb cache (WAD) se estaba cayendo continuamente. Para corregir eso se puede deshabilitar web cache y wan opt en las políticas, o actualizar el firmware a la versión 5.0.9.
Como me urgia la solucion, lo que hicimos fue reinicar el Appliance y boila... se corrigio el problema.
Sin embargo Fortinet a la fecha no me dio un resultado contundente del porque el equipo se "bloqueo" o dejo de pasar internet y simplemente me recomendaron el tema del webcahe y wan opt en las politicas y la actualizacion del firmware.
Es un caso bastante extraño pero se soluciono. Si tienen algun caso parecido o alguna idea de la causa raiz se los agradecere para tenerlo en cuenta por futuros casos que pudieran suscitarse.
Gracias por su colaboracion.
Gracias por sus comentarios gabyrossi e iescudero. Les comento que despues de varias pruebas entre ellas revision de politicas, crear una politica abierta como primera opcion de filtrado, actualizacion del FSSO y la revision a detalle del mismo, pruebas con el DNS de google, etc todo en conjunto con personal de Fortinet a quien contacte desesperadamente para solucionar el problema, ellos me indicaron ejecutar el comando:
execute tac report
y la salida de dicho comando se las envie para que analizaran. Soporte Fortinet concluyo comentandome que el componente wan optimization y wbargoeb cache (WAD) se estaba cayendo continuamente. Para corregir eso se puede deshabilitar web cache y wan opt en las políticas, o actualizar el firmware a la versión 5.0.9.
Como me urgia la solucion, lo que hicimos fue reinicar el Appliance y boila... se corrigio el problema.
Sin embargo Fortinet a la fecha no me dio un resultado contundente del porque el equipo se "bloqueo" o dejo de pasar internet y simplemente me recomendaron el tema del webcahe y wan opt en las politicas y la actualizacion del firmware.
Es un caso bastante extraño pero se soluciono. Si tienen algun caso parecido o alguna idea de la causa raiz se los agradecere para tenerlo en cuenta por futuros casos que pudieran suscitarse.
Gracias por su colaboracion.