Hola,
Tengo una duda de diseño.
Dispongo de un Fortigate 60B. Este fortigate tiene configurada una VPN IPsec funcionando contra otra red remota:
RED FORTIGATE: 192.168.227.128/26
RED REMOTA: 192.168.1.0/255.255.255.192
En el mismo fortigate, hemos habilitado un acceso VPN para usuarios basado en SSL, usando tunnel range: 10.0.1.1 hasta 10.0.1.254
Los usuarios entran sin problemas en la vpn ssl (creados users / groups). Y sin problemas veo la RED FORTIGATE.
La pregunta es cómo pueden estos usuarios poder ver la RED REMOTA a través de la VPN SSL cuando están fuera de la oficina.
Las firewall policy:
RED FORTIGATE -> RED REMOTA, Action Encrypt (esta es la que abre el tunnel IPSEC)
ssl.root -> RED FORTIGATE, Action ACCEPT (traspasa el tráfico del tunnel range hacía la RED FORTIGATE)
wan1 --> RED FORTIGATE, Action SSL-VPN (habilita login page SSL)
Debería ser una policy que haga NAT, ya que la red REMOTA, los paquetes no le pueden llegar de 10.0.1.0/24 porque la red remota sólo conoce a la red 192.168.227.128/26 y no puedo añadir ninguna regla en el otro extremo (RED REMOTA).
El fortigate debería coger los paquetes del ssl.root y hacer nat pasando a la RED REMOTA los paquetes, que llegarian como de 192.168.227.129 (ip interna del Fortigate).
Esta regla no me funciona:
ssl.root -> RED REMOTA, Action ACCEPT
Saludos!
Acceso por VPN SSL a una VPN montada
Re: Acceso por VPN SSL a una VPN montada
Hola , primero yo probaria armando la vpn contra la red remota de modo ruta. del otro extremo que equipo hay?
luego probar con las politicas de ssl para ir por la vpn y del otro lado debe conocer la ip de ssl para que vuelva por el tunel.
saludos
luego probar con las politicas de ssl para ir por la vpn y del otro lado debe conocer la ip de ssl para que vuelva por el tunel.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Acceso por VPN SSL a una VPN montada
Hola Gaby,
Gracias por la respuesta.
La VPN IPSEC entre el Fortigate y la red remota (el otro terminador es un SonicWall) es un servicio que da un organismo público y no puedo "cambiar" ni que me añadan nada en su extremo para que conozcan el rango de la VPN SSL (10.0.1.x)...
¿Cómo puedo convertir este enlace en modo "ruta"?, supongo que es en lugar de poner una policy... es en routes???
¿No hay forma que los paquetes que vengan del ssl.root para la red remota me haga NAT el fortigate y lleguen a la red remota como si los hubiera pedido el fortigate (con la IP LAN del fortigate que en el otro extremo conocen y saben devolver los paquetes..)
Saludos!
Gracias por la respuesta.
La VPN IPSEC entre el Fortigate y la red remota (el otro terminador es un SonicWall) es un servicio que da un organismo público y no puedo "cambiar" ni que me añadan nada en su extremo para que conozcan el rango de la VPN SSL (10.0.1.x)...
¿Cómo puedo convertir este enlace en modo "ruta"?, supongo que es en lugar de poner una policy... es en routes???
¿No hay forma que los paquetes que vengan del ssl.root para la red remota me haga NAT el fortigate y lleguen a la red remota como si los hubiera pedido el fortigate (con la IP LAN del fortigate que en el otro extremo conocen y saben devolver los paquetes..)
Saludos!
Re: Acceso por VPN SSL a una VPN montada
Hola, si no puedes modificar nada del otro lado ni cambiar el modo de vpn, olvidate de poder hacerlo.
no se puede
salvo probar que el rango que le das al ssl sea de la misma red que tienes en la interna ... probalo.. nose.
saludos
Gabriel
no se puede
salvo probar que el rango que le das al ssl sea de la misma red que tienes en la interna ... probalo.. nose.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst