. Holagabyrossi escribió: 20 Abr 2017, 15:43 hla, estas autenticado la politica usando fsso ?
parece un tema de dns, eso pasa cuando cambia la pc de ip? o cada x tiempo que se esta usando?
revisa que cada pc tenga los puertos 139/445 abiertos y el servicio registro remoto habilitado.
saludos
HolaGarsa escribió: 24 Abr 2017, 21:37 Hola Kakito,
Si puedes inicar session en el Fortigate GUI y buscas la politica con ID 85 (no te confungas con el numero de SEQUENCIA que tambien esta ahi)
O por el CLI, inicias session por SSH y ejecutas lo siguiente:
show firewall policy 85
Saludos,
Garsa
Garsa escribió: 25 Abr 2017, 18:50 Hola Kakito,
Esa parace ser tu DENY rule. Lo que me dice que tal vez tienes un IDENTITY BASED rule (para autenticaction) que en ciertas ocaciones no coge tu trafico y al final la que coge tu trafico es la 85 DENY.
Vamos a confirmar la teoria de Gabyrossi. dame el output del siguiente comando porfa..este talvez sea mas largo.
show firewall policy | grep -f fsso
Saludos,
Garsa
moler escribió: 26 Abr 2017, 22:41 Tiene que ser un tema de DNS, porque el Firewall solo tiene lo que le manda el agente que esta instalado en el DC, deberias chequear en que modo esta instalado el agente, si el usuario autentica contra el DC donde esta instalado el agente y en el momento del problema debes chequear en el agente de fsso, creo que en show users, fijate si la IP esta asociada al usuario, seguramente no, debe figurar como guest. Y ahi ya hay que revisar lo que comentaron al principio, revisa que cada pc tenga los puertos 139/445 abiertos y el servicio registro remoto habilitado. No es un tema de firewall.
Garsa escribió: 27 Abr 2017, 15:46 Hola Kakito,
Esto ya se ve mas grande. Por lo que veo ademas del FSSO (autenticacion de usuario) tambien estas haciendo filtro de dispositivo.
Basándome en lo que dices que debes hacer para poder volver a tener internet, creo que el problema puede estar en la identificacion de los dispositivos.
Como dice moler, el DNS es tambien otros factor.
De los usuarios que se quejan, en que red trabajan? Wifi o wired? y cuando se quejan, sabes si han cambiado de una a otra? O si talvez estaban trabajando en VPN fuera de la oficina?
Un workaround que puedes intentar, asumiendo que tu problema es como dice moler, con dns y los eventos de sesion incorrectos en el fortigate, puedes habilitar NTLM en tu politica 105 (o las demas que usen FSSO). Esto lo que hace es que si el usuario navega, y no el foritgate no tiene el login even para este, en vez de mandarlo al DENY policy 85, le va a presentar un NTLM challenge, es decir le va a pedir usuario y contraseña por medio del navegador.
Para esto solo debes añadir " set ntlm enable " en las politicas con FSSO.
Espero te ayude,
Saludes,
Garsa
