Problema con FSAE

[jessica]

Hola a todos tengo un problema y quiera ver si me pueden ayudar porque no se que me falta. Hemos adquirido un fortigate 200A, y queremos integrarlo con Active Directory con FSAE. Hemos actualizado a la última versión de firmware en el dispositivo y ha quedado con v4.0,build0178,090820 (MR1) y se ha instalado en el controlador de dominio (solo tengo 1) la versión de FSAE 3.5.047 se ha hecho pruebas y se logra conectar y enviar información Fortigate - Active Directory, por ejemplo creo un filtro de grupos en el FSAE en Windows Server y si se actualiza esto en el Fortigate como se muestra en la siguiente imagen.

Replicación de directorios.jpg

En active directory creo un usuario y lo uno al grupo DOMINIO\NAVEGACION RESTRINGIDA, en mi fortigate creo un grupo de usuarios que se llama Nav restringida y los ligo de la siguiente manera.

grupo de usuarios.jpg

Creo una regla de Firewall que me permita todo el tráfico (internal - wan1) con NAT tildado y me permite navegar correctamente (esto lo hago para ver que este en línea la navegación sin autenticación) y navego sin problemas.

Al Activar la opción Enable Identity Based Policy y aplicar un perfil de protección basado en la autenticación al grupo de usuario Nav restringida ya no salgo a ningun sitio. Que pudiera estar haciendo mal?

[jessica]

Como continuación de la descripción anterior tengo una regla de Firewall como se muestra a continuación:

Politicas de firewall.jpg

Después esa regla esta construida de la siguiente forma:

Politicas de firewall 2.jpg

Alguna de idea de que este mal?, he estado buscandole pero no encuentro el error.
Saludos

[jessica]

Internamente la pólitica de firewall en la parte de autenticación esta de la siguiente manera:

politica de firewall 3.jpg

He intentado desintalando e instalando el FSAE agent, collector en el server, reinciado pero no logro que funcione.
De antemano gracias por revisar mi configuración.
Saludos.

[gabyrossi]

Hola, como estas? Como se ve ahi, se ve bien.
Algunas preguntas:

El server de AD, esta en la misma lan que tus pc's ???
Intalaste a demas del collector el aggente en el server?
te recomiendo que al server de ad, le hagas una politica de navegacion aunque sea servicios de dns, salientes sin autenticar asi consulta los dns publicos.

En el fsae que tenes, tenes opciones de revisar si ves usuarios logueados.

si desde el fortigate haces: # dia deb authd fsae list
te muestra usuarios logueado?

en el log, en eventos que te muestra?
cuantos usuarios hay en el ad?

saludos
Gabriel

[jessica]

Gracias Gaby por tu pronta respuesta, al parecer estaba haciendo otras cosas extrañas mi fortigate como que al asignarle cualquier perfil de protección ya nadie podia navegar a ningun lado. Al parecer quedo mal cargado el upgrade a la versión 4.0 MR1, regresé a mi firmware V3.0 MR7 Patch 6 y todo esta funcionando correctamente con la configuración que explique anteriormente, tuve que cambiar el FSAE a la versión correspondiente para V3.0 MR7 patch 6.

Una última pregunta si recomiendan hacer el upgrade a la versión 4.0 MR1?
Es decir no se si los que han experimentado con la 4.0 MR1 la sienten ya estable o sería conveniente esperar un poco?.
Gracias por la ayuda.

[gabyrossi]

Hola, como estas? Bien barbaro. Yo te recomiendo que por ahora esperes un poco antes de usar en produccion un equipo con 4.o mr1.

Podes probarlo y mirando en algun otro equipo de prueba si tienes, pero por ahora en produccion no recomiendo.

Salvo que necesites aguna nueva caracteristica o funcion nueva que viene en 4.0

saludos
Gabriel

[jessica]

Muchas gracias Gaby, así lo haré. Gracias por el apoyo. Saludos.