Acceso por VPN SSL a una VPN montada
Publicado: 24 Ago 2009, 17:38
Hola,
Tengo una duda de diseño.
Dispongo de un Fortigate 60B. Este fortigate tiene configurada una VPN IPsec funcionando contra otra red remota:
RED FORTIGATE: 192.168.227.128/26
RED REMOTA: 192.168.1.0/255.255.255.192
En el mismo fortigate, hemos habilitado un acceso VPN para usuarios basado en SSL, usando tunnel range: 10.0.1.1 hasta 10.0.1.254
Los usuarios entran sin problemas en la vpn ssl (creados users / groups). Y sin problemas veo la RED FORTIGATE.
La pregunta es cómo pueden estos usuarios poder ver la RED REMOTA a través de la VPN SSL cuando están fuera de la oficina.
Las firewall policy:
RED FORTIGATE -> RED REMOTA, Action Encrypt (esta es la que abre el tunnel IPSEC)
ssl.root -> RED FORTIGATE, Action ACCEPT (traspasa el tráfico del tunnel range hacía la RED FORTIGATE)
wan1 --> RED FORTIGATE, Action SSL-VPN (habilita login page SSL)
Debería ser una policy que haga NAT, ya que la red REMOTA, los paquetes no le pueden llegar de 10.0.1.0/24 porque la red remota sólo conoce a la red 192.168.227.128/26 y no puedo añadir ninguna regla en el otro extremo (RED REMOTA).
El fortigate debería coger los paquetes del ssl.root y hacer nat pasando a la RED REMOTA los paquetes, que llegarian como de 192.168.227.129 (ip interna del Fortigate).
Esta regla no me funciona:
ssl.root -> RED REMOTA, Action ACCEPT
Saludos!
Tengo una duda de diseño.
Dispongo de un Fortigate 60B. Este fortigate tiene configurada una VPN IPsec funcionando contra otra red remota:
RED FORTIGATE: 192.168.227.128/26
RED REMOTA: 192.168.1.0/255.255.255.192
En el mismo fortigate, hemos habilitado un acceso VPN para usuarios basado en SSL, usando tunnel range: 10.0.1.1 hasta 10.0.1.254
Los usuarios entran sin problemas en la vpn ssl (creados users / groups). Y sin problemas veo la RED FORTIGATE.
La pregunta es cómo pueden estos usuarios poder ver la RED REMOTA a través de la VPN SSL cuando están fuera de la oficina.
Las firewall policy:
RED FORTIGATE -> RED REMOTA, Action Encrypt (esta es la que abre el tunnel IPSEC)
ssl.root -> RED FORTIGATE, Action ACCEPT (traspasa el tráfico del tunnel range hacía la RED FORTIGATE)
wan1 --> RED FORTIGATE, Action SSL-VPN (habilita login page SSL)
Debería ser una policy que haga NAT, ya que la red REMOTA, los paquetes no le pueden llegar de 10.0.1.0/24 porque la red remota sólo conoce a la red 192.168.227.128/26 y no puedo añadir ninguna regla en el otro extremo (RED REMOTA).
El fortigate debería coger los paquetes del ssl.root y hacer nat pasando a la RED REMOTA los paquetes, que llegarian como de 192.168.227.129 (ip interna del Fortigate).
Esta regla no me funciona:
ssl.root -> RED REMOTA, Action ACCEPT
Saludos!