AYUDA! por favor. SSL VPN + NAT

[DavidRios]

Estimados, necesito alguien que me pueda ayudar.

Antecedentes:
Tengo un Firewall FortiNet 50b
Tengo 2 VPN's (redes distintas) de fw a fw con ipsec
Mi Rango IP es el 10.3.19.x
Mi Rango IP asignado a través de SSL VPN es 10.20.30.x
El Rango de 1 VPN es 10.254.1.x
El Rango de la otra VPN es 161.131.x.x
Actualmente tengo acceso a los servidores desde mi red a los servidores de las VPN sin problemas.

Problema:
Las VPN's solo me dan acceso a las consultas realizadas desde la red 10.3.19.x

Requisito:
Necesito que cuando esté conectado a través de SSL VPN, pueda entrar a los servidores de las otras VPN's.
Deb o hacer un Nateo a la IP de Origen, es decir que cuando la consulta se haga desde la 10.20.30.x se traduzca a una ip 10.3.19.x

Alguien que me pueda ayudar por favor ... MUCHAS, MILES GRACIAS!!

davidrios12 (a) htmai|.com

[gabyrossi]

hola, primero la vpn ipsec es en modo interface?
si fuera asi, tenes que hacer una politica de ssl.root hacia la interface de la vpn.

del lado remoto seria la inversa, a demas de rutear la red del ssl para que vaya por el tunel.

ojo con la phase2 de la vpn. y con la autenticacion de la politica de ssl de wan hacia la interface de la vpn tambien.

saludos

[DavidRios]

Gracias Gaby por tu respuesta ... la verdad es que no me manejo mucho, todo lo que he realizado es a través de instructivos

Adjunto la imagen de la configuración (phase1 y phase2)...

VPN1.JPG

[gabyrossi]

hola, la vpn es en modo policy.
y la phase2 solo dice que pasaran esas redes.
si queres que el ssl se conecte o modificas la phase2 o creas un a nueva para que la red de ssl pase por el tunel.
y haciendo una politiuca de firewall para el tunel.

con vpn en modo interface seria ams facil
saludos

[DavidRios]

Gracias nuevamente ...

Pero según mi consulta original ... será posible hacer NAT ?
Ej: Desde mi IP SSL 10.20.30.41 quiero entrar a la 10.254.1.41, necesito que el NAT cambie mi IP 10.20.30.41 por la 10.3.19.41 ya que esta última subred es la que tiene acceso a la subred de la VPN...

Ese es mi dilema ya que tengo pocas probabilidades que en las otras VPN's me den acceso a mi otra subred (ssl vpn)

[gabyrossi]

Hola, deberia aplicar nat en la politica de vpn, pero tendras que configurar bien el ssl, la politica de ssl para que vaya por la vpn. por eso siempre es mejor en modo interface (vpn ipsec)
saludos

[DavidRios]

Gracias Gaby, pero las VPN que tengo son IPSEC... la vpn ssl que tengo es para los clientes que se conectan por web ([Debes identificarte para poder ver enlaces.])

Adjunto imagen de configuración ...

Lo siento, al parecer no me expliqué bien.

VPN3.JPG

[gabyrossi]

hola, si lo se
per vos no querias que el que se comnectara por ssl llegue al otro extremo de la vpn?

saludos

[DavidRios]

Así es Gaby, requiero llegar desde mi SSL VPN (Web) a la otra VPN que tengo.

Helpppppp

[gabyrossi]

Hola, lo podras hacer si la vpn ipsec la tenes en modo interface

saludos

[DavidRios]

La verdad es que no se si la tengo en Interface ni como se cambia... a parte de hacer un cambio en mi FW, también se debe hacer en los otros FW de la VPN ?

[gabyrossi]

hola mmm sera complicado entonces...
del otro lado hay que revisar la phase2, politicass y agregar alguna ruta...

[DavidRios]

(de todas formas tengo acceso a 2 firewalls con el que tengo una de las 2 VPN's)