Comunidad FORTIGATE.es

Buenas, ¿como andan?

Hace una semana aproximadamente en donde trabajo me dieron un fortiwifi 60c firmware v4.0 MR3 patch 6 para que aprenda a usarlo para luego implementarlo. He leído bastantes manuales de fortinet y mas o menos le he agarrado la mano menos en una cosa que les paso a explicar:

Tengo creada una vpn site-to-client que por las pruebas que hice (por ejemplo puedo conectarme por escritorio remoto) anda bien.
Por otro lado, tengo varios grupos de usuarios (por el momento locales) que quiero que tengan acceso remoto a la red interna por la vpn, el problema es que cuando configuro la fase 1, en la opción xauth solo me deja ingresar un grupo. Entonces probé crear una vpn para cada grupo pero solo me anda la primera que creo, el resto de las vpn no funcionan.

La idea es que todos los grupos se conecten a través de una vpn o en su defecto una vpn para cada grupo con la finalidad que de alguna forma pueda aplicar políticas especificas para cada grupo.

A modo de ejemplo:

Tengo los grupos grupo1 y grupo2 (cada uno con varios usuarios), entonces creo una (o varias) vpn/s para que los usuarios de estos grupos puedan conectarse remotamente, pero también quiero poder decir a que se puede conectar los usuarios del grupo1 y a que los usuarios del grupo2 (esto ultimo tampoco sé hacer, no vi ningún lugar donde asignar políticas por grupo, o por lo menos asignarle un rango de ips a un grupo para luego crear políticas por ip).

Desde ya agradezco cualquier ayuda.

Después de pelearla un rato se me ocurrió lo siguiente:

Como dije tenia los grupo1 y grupo2 a los cuales quería aplicarle diferentes políticas pero no sabia como "ponerlos" a los 2 en la VPN, entonces cree un tercer grupo "usuarios_vpn" que contiene a los usuarios de grupo1 y grupo2, y este grupo es el que "pongo" en la vpn, de esta forma le doy conectividad a todos los usuarios de todos los grupos con un solo grupo.(Esto lo cuento por si alguien tenia el mismo problema para que tenga una posible solución)

Ahora lo que hay que hacer es aplicar las políticas en los grupos1 y grupo2 y acá es donde tengo problemas... por ejemplo en las políticas pongo que los usuarios del grupo1 solo pueden hacer ping y los del grupo2 solo conectarse a escritorio remoto (en VPN->internal). El tema es que cuando me conecto a la vpn, introduciendo user y pass (ademas de la pre-shared key) no se loggea en el forti este usuario, por lo que nunca se cumple la regla.

Agradecería mucho cualquier ayuda que me puedan dar

Saludos.

Hola es sencillo
tendras tantas vpn como grupos diferentes tengas de accesos...

en la phase1 tenes para agregar el xauth donde le indicas que grupo va a validarse en esa vpn.
la politca de vpn es normal, sin autenticar. (ya se autentican en la vpn).

la vpn tiene que se en modo agresivo y usando localid diferente para cada vpn.

saludos.

Gracias por responder gabyrossi

Hice lo que me dijiste (por lo menos como yo lo entendí jaja) y no me funciono, así que empece a averiguar eso del localid y conseguí el siguiente manual [Debes identificarte para poder ver enlaces.] (pagina 44 en adelante). Voy a intentar seguirlo a ver que pasa. Si podes darme una mano o explicarme como funciona esto te agradezco, si estas falto de tiempo o lo descubro antes publico aca mas o menos como hice para que quede en el foro por si alguien mas vuelve a tener la misma duda.

Te agradezco nuevamente,
Saludos.

Hola, si justamente eso.

saludos.

Te cuento lo que he hecho:

Creo 2 vpn's vpn1 y vpn2, en ambas dial up, salen por wan1, se autentican por preshared key, aceptan cualquier id remoto, y tienen el xatuh como servidor y en cada uno pongo un grupo.

de esta forma, solo puedo logearme a la vpn1, a la vpn2 no me deja, entonces probe lo del local id, que por lo que lei "diferencia" a las vpn pero lo que no encuentro es donde ponerlo en el forticlient.

Otra cosa que probe es aceptar el id de un grupo (Accept peer ID in dialup group) que segun lei se usaria la clave de los usuarios como preshared key pero tampoco me funciono.

Tambien segui los pasos de las otras configuraciones que aparecen en el manual pero no llego a nada.

Supongo que le estoy errando en una pavada pero no me doy cuenta

agradezco cualquier idea, ayuda o pique, mientras tanto sigo probando!

Disculpa la molestia y gracias por la paciencia.

En el manual dice que tengo que configurar ciertas cosas en el forticlient, pero mi forticlient 5.0.1.194 (el ultimo segun me dice) no trae estas opciones que tengo que configurar, por ejemplo donde tengo que decirle el localid que pongo en el forti, no hay donde ponerlo en el forticlient.

hola,Los localid deben ser diferentes y luego setearlo en el forticlient dependiendo de la vpn que quiera usarse.

si usas alguna version mas vieja te deja editar la vpn

si usas la version 5.0 delk forticlient para editar la vpn necesitas:
Te descargas desde ftp://support.fortinet.com/FortiClient/ ... 3_Patch_5/
El archivo zippeado que dice” FortiClientTools_4.3.5.0472.zip”

Dentro hay una carpeta llamada “VPN Editor” y ahí hay un ejecutable llamado “FortiClientVPNEditor.exe”
Abriendo eso te dejara editar la vpn modificarla y si quisieras importar/exportar el archivo .vpl para que lo uses en otro forticlient 5.0

saludos

Nuevamente gracias por responder y por tu tiempo gabyrossi

Como dije arriba tengo creadas las vpn1 y vpn2 en la misma interfaz. Ahora les asigne el idlocal idvpn1 e idvpn2 respectivamente, me baje el programa que me dijiste y le puse el id local correspondiente a cada vpn en el forticlient pero me sigue pasando lo mismo, siempre intenta conectarse únicamente a vpn1 por mas que ponga un grupo que esta en la vpn2 y el id local sea de vpn2. En mas, probé en la vpn1 ponerle cualquier cosa de id local (en el forticlient) y se conecta igual, por lo que creo que no lo esta tomando en cuenta.

También hice pruebas con lo de los peer pero como no se como se usan tampoco funciono.

¿Alguna idea?

Gracias y saludos!

hola, es algo simple, asique tenes algun error en algun lado.
habria que ver la vpn phase 1 y phase2 y luego forticlient

podes hacer algun algun print de pantalla ?

saludos.

Hola!

Aca van las capturas:

FASE 1 VPN 1


FASE 1 VPN 2


FASE 2 (Es igual para las 2 vpn a no ser el nombre y la fase 1 a la cual se enlazan)


Configuración en el FortiClient (También son iguales las 2, solo cambia el localid)


Si necesitas ver alguna otra captura o algún otro dato quedo a las ordenes!

Muchas gracias!!!

Saludos.

Hola, eN las PHASEs1 tilda donde dice " Accept this peer ID" y ahi agregas el id que quieras. ejemplo vpn1 o vpn2 segun el caso.

luego en el forticlient cuando pones agresivo, pones el id vpn1 o vpn segun el cado .(en la imagen no se ve esa parte).

luego no veo quien le da dhcp a la vpn
o la setea en cada fortilcient?
si en el forticlient dejas como red remota 0.0.0.0 0.0.0.0 cuandos e conecte la vpn intentara navegar por el tunel.
si le seteas la o las redes remotas, la navegacion saldra por la pc que tiene el forticlient.


saludos.

FUNCIONOOO!!! jajajaja

Las ip las configuro cuando creo la vpn en "configure forticlient vpn" que te arma sola la fase 1 y fase 2, también te deja poner el rango de ips que entrega.

Ahora que esto ya me anda me voy a poner con el tema del FSSO y los usuarios de active directory, cualquier cosa vengo a molestar nuevamente

Te agradezco mucho gabyrossi, gracias por siempre preocuparte y tomarte el tiempo para ayudar

Saludos!

ok, buenisimo.

cerrado el tema.

saludos.