Problemas con VPN, conecta y pierde LAN

[RogerSis]

Hola a todos en el Foro , tengo una problemita con la configuración de una VPN al conectarme a esta a travez del forticlient me deja de lado todo lo que esta en mi lan y esto es fatal pues los recursos de impresion que necesito al mismo tiempo estan sobre ip , les doy loos detalles de como desplegue la VPN y caracteristicaz de los equipos y redes
la unidad fortigate es un 200b con el firmware v5.0,build0228 (GA Patch 4) la interfaz wan esta en el puerto 9 y los servicios a os cuales intento acceder estan en el puerto 3 el forticlient es la version 5.0.1.194
para la VPN de tipo remoto segui los videos de configuracion usando el wizard para su despliegue los pasos fueron los siguientes:
1)Creacion de usuarios para conexion a travez del cliente y un grupo para ellos.
2) en objetos de firewall cree un grupo de direcciones para los servidores remotos a los cuales van a conectarse los usuarios
y los meti en un grupo de direcciones.
3)Para la creacion de la VPN en la seccion de VPN seleccione IPSec -->Auto Llave IKE
-->Create VPN Wizard
-->3.1 Configuracion de VPN: Nombre xxx_VPN, Tipo: Dial Up Forticlient Windows Mac android
-->3.2 Autenticacion: Metodo de autenticacion llave pre-compartida , Grupo de usuarios Mis usuarios del paso 1
-->3.3 Red: Interfaz Saliente Local:mi wan (puerto 9), Rango de direcciones: 192.168.10.x - 192.168.10.y
mascara de red 255.255.255.0 , DNS: especificos 8.8.8.8, habilitar tunel dividido spit tunnel ipv4 , Redes accesibles:
mi rango interno para los servidores de aplicacion.
---4) Detalle de phase 1)

4.png

---5) Detalle de phase 2)

5.png

-->6) Debajo de la interfaz 9 de la unidad FG aparaecio el tunnel de la interface de la siguiente forma:

6.png

-->7) Las politicas estan de la siguiente forma:
Politica VPN a Puerto 3**************************
Tipo de Política: Firewall
Subtipo de Política: Dirección
Interfaz Entrante: VPNRECAUDA

Dirección Origen: all

Interfaz Saliente: port3

Dirección Destino: servers-p

Horario: always

Servicio: ALL

Acción: ACCEPT

Habilitar NAT:SI

****************************************************
Politica VPN a Puerto 9************************

Tipo de Política:Firewall
Subtipo de Política: Dirección
Interfaz Entrante: VPNRECAUDA

Dirección Origen: all

Interfaz Saliente: port9

Dirección Destino: all

Horario: always

Servicio: ALL

Acción: ACCEPT

Habilitar NAT: SI
*********************************************************

Con ellas logroque conecte la VPN y que tengan conexion a internet los equipos remotos , pero sigo sin poder ver los recursos de cada una de las LAN remotas como impresoras y documentos compartidos.
El fortiClient esta configurado de la siguiente forma:
en VPN esta como VPN ipsec con nombre descripcion y direccion de gateway remoto : ej. 1.1.1.1
metodo de autenticacion clave precompartida: xxxxxxx
Autenticacion(XAuth): preguntar siempre el login
en ajustes avanzados: configuracion de VPN:
modo: aggressive
Opciones: Modo de Configuracion
en la fase 1 :
encripcion AES128 autenticacion SHA1
encripcion AES256 autenticacion SHA256
DH group: 5
vide de clave 86400
id local "sin configurar"
detetccion de par puerto DPD: activado
Nat traversal: activado
en la fase 2 :
encripcion AES128 autenticacion SHA1
encripcion AES256 autenticacion SHA1
vide de clave 43200
Habilitar deteccion de repeticiones : activado
Habilitar perfect forward secrecy (FPS): activado
DH group :5

De antemano gracias por tomarse la molestia de revisar mi configuracion y esperando me puedan ayudar con este tema de dividir correctamente en Tunel para poder acceder a los servidores de aplicacion y al mismo tiempo a los recursos locales (impresoras) .
Un saludo.

[gabyrossi]

hola, no me quedo claro donde si llegas y donde no....

[RogerSis]

si conecto correctamente a los servidores mediante el cliente desde cualquier red (oficinas , sitios publicos, casas, etc.) una vez que se establece la conexion pierdo los recursos de la lan desde donde me conécte y mis impresiones se atascan, no accedo a carpetas compartidas etc. hasta que desconecto el cliente.

diag1.png

Ej. como en la imagen me conecto desde un equipo con forticlient y pierdo la comunicacion con todos los equipos detras del Router

[gabyrossi]

Hola, en la vpn deberias acotar las redes que llegas. para que la vpn haga split y puedas separar el trafico tuneleado con el que no.

saludos

[RogerSis]

Gracias por tu respuesta gabyrossi , para acotarlas redes a la vpn se dan de alta en la fase 2 en quick mode ? se supone que es de la forma

5.png

donde dice direccion origen especificar 192.168.1.0/24 (desde donde conecta el forticlient)
y un puerto origen
y de igual forma en direccion destino 192.168.10.0/24 (hasta donde llega la vpn)
y su puerto destino
y protocolo "0" que incluye todos

o me equivoco?
Gracias por tu tiempo.

[gabyrossi]

Hola,origen es la red local del fortigate, destino la red que le das al cliente de vpn al conectarse.

Lo demas lo dejas como esta.

[RogerSis]

al agregar las redes origen 192.168.10.0/255.255.255.0 puerto 0
y direccion destino 192.168.1.254/255.255.255.0 puerto 0 protocolo 0

me tira un error el forticlient al intentar conectar:
Fallo la conexion de la VPN. por favor verifique su configuracion, la conexion de red y llave precompartida y vuelva a intentar la conexion, si el problema persiste , contacte al administrador de red para obtener ayuda.

y una vez que libero eso datos y los dejo en 0.0.0.0/24 tanto en origen como destino vuelve a conectar pero sin dividir el tunel nuevamente
Saludos.

[Orejarena]

Intenta hacerla sin la guia, sin el modo wizard.

[Orejarena]

Por otro lado, coloca el grupo de direcciones a los cuales el cliente va a recibir distintas a la red lan, para que no tengas conflico. Puedes usar la 10.10.10.1-10.10.10.1 255.255.255.255 si se conecta un solo host.

[cordobesensh]

te recomiendo usar esta vpn [Debes identificarte para poder ver enlaces.]