Enrutar todo el tráfico - LAN corporativa

[jessica_cr]

Hola a todos, tengo una duda sobre la configuración de las VPNs utilizando un fortiwifi 80 CM y clientes forticlient. Anexo el siguiente diagrama para explicarme mejor lo que me pasa. Lo que pasa es que leyendo los manuales y notas del foro he podido lograr la conectividad entre un forticlient y mi Intranet, una vez activado el tunnel puedo accesar a los recursos de mi Intranet (los recursos 172.x.x.x). Pero cuando navego a otras páginas (fuera de mi red) el tráfico es accesado por mi gateway de mi home dsl router. ¿Hay forma de que la navegación a algunas páginas o a todas sean enrutadas a través del tunel?, es decir que cuando visita la página [Debes identificarte para poder ver enlaces.] me indicara que mi dirección ip es el de mi router corporativo y no el de mi conexión de casa (home dsl router).

Se preguntaran porque necesito hacer algo así ??, lo que pasa es que tenemos contratados ciertos servicios de busqueda (enciclopedias, institutos , universidades, etc) que solo permiten accesar sin autenticarse si se detecta que la petición viene de un rango de direcciones IPs (fijas) de sus clientes que las contratan, por lo que mis usuarios que se conectan vía vpn hasta el momento pueden acceder a los recursos de la red interna pero no a los servicios de busqueda.

Lo anterior lo estoy haciendo con IPSEC y forticlient, pero si hay que cambiar a VPN ssl pues lo haría si con eso consigo esta meta.

Espero haberme explicado.

[gabyrossi]

hola, si claro que se puede, habra que revisar la conbfiguracion de la vpn, en los selectores, y en el forticlient como red remota deberias poner 0.0.0.0/0.0.0.0

luego en el fortigate hacer una politica de wan a wan encriptada con el tunerl usado.

saludos

[jessica_cr]

Hola Gabriel, anexo las pantallas de mi configuración:

Phase 1:

Phase1.jpg

Phase 2:

Phase2.jpg

Rangos de direcciones:
usuarios_ipsec 172.22.29.[101-110]
Recursos_vpn 172.0.0.0/255.0.0.0

[gabyrossi]

Hola, como estas? haber, le configuras ip fija en cada forticlient?
cual es la configuracion de la vpn en el forticlient?

no usas xauth para que pidas user y pass?
no se ven las politicas de vpn
saludos

[jessica_cr]

Una disculpa Gabriel es que el problema es que solo puedo poner 3 imagenes por respuesta, pero aqui estan mis reglas de firewall:

[jessica_cr]

Te anexo mis pantallas de Forticlient:

[jessica_cr]

Le he colocado una ruta estatica y logro forzar sacar el tráfico que se dirige hacia la la red corporativa (172.X.X.X) se vaya por el gateway 172.22.10.11, y como ves en el tracert si lo hace, pero no así cuando es una dirección como [Debes identificarte para poder ver enlaces.] se va por (wan1 en el diagrama).

[gabyrossi]

hola, no comprendo la ruta estatica del ultimo dibujo.

trata de darle otra red al ipsec, que no se encuentre en la misma que tu red interna.
probaste de configurarle una ip, mascara y dns en en el forticlient?


cuando estas conectada si haces un ipconfig /all que datos de red tenes?
saludos

[jessica_cr]

Ok, te refieres a que el DHCP IPsec le de otro rango diferente que no sea del mismo de mi red?.
Si hago un IPconfig /all , me muestra esto el adaptador virtual:

[jessica_cr]

Hola solo para comentar que ya logré resolver mi problema, me faltaba una regla de firewall Oficina > wan1 con nat habilitado y crear rutas estaticas para las páginas que quiero que sean accesadas desde mi Internet corporativo, lo demas por defecto se va por wan1 al tener una regla de firewall creada.
No se usar mucho el foro pero este post (problema) esta resuelto, gracias por su apoyo y saludos.

[gabyrossi]

hola, barbaro. En mi primer post te habia dicho de una politica encriptada hacia la wan utilizando el tunel. eso es lo mismo que hiciste vos, pero las vpn en modo politica.
Vos como tenes la vpn en modo interface, la politica va netadeade desde la interface de la vpn hacia la wan.

las rutas no me queda claro que las necesites, ya sale con la ruta defualt al gw.
saludos