Comunidad FORTIGATE.es

Buen dia:

Espero alguien me pueda ayudar con el siguiente problema. Por razones laborales me di a la tarea de implementar una VPN entre mi
telefono celular Motoroi (Android 2.3.3) y el Fortigate 60B (4.0MR2) de mi oficina. El tipo de VPN es una L2TP/IPSec, la conexion
es constante y la hago por medio de 3G, desde el celular puedo hacer ping y ver cualquier equipo de la red LAN de la oficina una vez
que la VPN esta conectada, pero cuando quiero abrir el navegador o hacer uso de alguna aplicacion no puedo navegar por Internet.

La configuracion que use es la siguiente:

config user local
edit jAndroid
set type password
set passwd myPassword
set status enable
end

config user group
edit L2TP
set group-type firewall
set member jAndroid
end

config vpn l2tp
set sip 192.168.23.1
set eip 192.168.23.5
set status enable
set usrgrp "L2TP"
end

config firewall address
edit "L2TP Clients"
set type iprange
set start-ip 192.168.23.1
set end-ip 192.168.23.5
end

config vpn ipsec phase1
edit "L2TPDial"
set type dynamic
set interface wan1
set mode main
set psksecret ********
set proposal aes256-md5 3des-sha1 aes192-sha1
set dhgrp 2
set nattraversal enable
set dpd enable
end

config vpn ipsec phase2
edit "L2TPDial2"
set phase1name "L2TPDial"
set proposal aes256-md5 3des-sha1 aes192-sha1
set replay enable
set pfs disable
set keylifeseconds 3600
set encapsulation transport-mode
end

config firewall policy
edit 0
set srcintf internal
set dstintf wan1
set srcaddr all
set dstaddr all
set action ipsec
set schedule always
set service ANY
set inbound enable
set outbound enable
set vpntunnel "L2TPDial"
end

config firewall policy
edit 0
set srcintf wan1
set dstintf internal
set srcaddr "L2TP Clients"
set dstaddr all
set action accept
set schedule always
set service ANY
end

Sin problemas me puedo conectar por VPN desde mi celular al Fortigate, pero no puedo navegar por internet. Alguna idea? muy seguramente estoy
olvidando algo.

hola, proba de hacer una politica de wan a wan utilizando el tunel.

slaudos

Gracias por el tip, acabo de configurar una policita wan - wan , haciendo uso del tune,
pero aun sin resultados. Seguire probando las politicas, estoy seguro que algo falta o sobra ja

tengo el mismo problema, has logrado solucionarlo?

Buenas a todos.

Considera que tienes esta definicion

config firewall address
edit "L2TP Clients"
set type iprange
set start-ip 192.168.23.1
set end-ip 192.168.23.5
end

Luego entonces tu dispositivo conectado a la VPN tiene en uno de sus dispositivos de red, asignada una de estas direcciones. El hecho de que no navegues por Internet cuando te conectas a la VPN, es una politica de protección de la red a la que te conectas pues, no puede saber esa red, si tu dispositivo tenga virus, o ahugeros de seguridad, por ello te prohibe seguir navegando.

Pero la solución es que hagas una politica en la que le permitas, a las peticiones que vienen de "L2TP Clients" es decir de tu dispositivo hacias la WAN1 que es tu salida a Internet vía tu Firewall.

Las únicas políticas que veo en tu definición son de la WAN1 al interior y del interior a la WAN1, no mas. Hacé la política "De L2TP Clients a la WAN1" y ya estarás navegando por tu red atras del Firewall no por tu red por la que sales a la VPN.

Como un consejo, te podría recomendar que, aunque te conectas sin problemas, piensa que en la definición de

set srcaddr all
set dstaddr all

Estas dejando pasar a todo lo que quiera conectarse a tu VPN y hacia toda tu red, y aunque la VPN tiene password y encriptación, me parece que debieras ser mas específico y estructurado definieido nombres de las direcciones destino para que tus políticas dijeran algo así:

set srcaddr L2TP Clients
set dstaddr Servidoresdestino (previemante definiendo con este nombre a los hosts a los que los clientes podrían conectarse)

Bueno una humilde opinión nadamas.

Saludos

que tal, espero que esta informacion aunles sirva, cuand inicias la vpn desde un telefono android o iphone, el trafico del telefono se redirecciona hacia su empresa, ahora para solucionar esto es necesario activar el nat cuando haces la politica de la interfaze vpn ipsec a internet. al menos eso a mi me funciono, ahora yo teno una cuestion, hiceuna vpn para iphone, pero no se si para andorid requiera algo enespecia ya que en iphone si mefunciona y en adroid no ojala me pueda ayudar
saludos.

Hola, no funciona la resolucion de nombre utilizando la vpn l2tp/ipsec con android.
No tengo confirmado si es una limitamente del l2tp o alguna otra cosa.

Si tenes android 4.0 o superior funciona muy bien la vpn ssl utilizando forticlient ssl. (modo tunel)

saludos