Comunidad FORTIGATE.es

Hola a tod@s,

Fortigate 110
Forticlient con VPN IPSEC

En el Forti110 3 puertos en modo independiente, y en cada puerto una subnet diferente: 192.168.1.x, 192.68.50.x y 10.0.1.x, todas con subnet 255.255.255.0.
Las rutas que conectan estas subnets entre sí y sus salidas a Internet funcionan correctamente.

Quiero que mis agentes comerciales accedan desde casa con Forticlient a cada una de las diferentes redes, y que además puedan salir a Internet. He configurado la conexión en Forticlient y la VPN la levanta sin problemas. El problema lo tengo con las diferentes subredes. Os explico cómo lo he hecho:

En los clientes creo una VIP manual para cada uno. Son la 192.168.80.1, .2 y .3 para cada uno de los 3 clientes que quiero que puedan acceder.
He creado una regla de firewall de port1, port2 y port3 hacia la wan1 (por donde me entra la VPN del forticlient) con acción ENCRYPT y el túnel correspondiente, poniendo como destino las "address" VIP de los clientes.

Esto es lo que obtengo:
* Si en la "red remota" del forticlient pongo las 3 redes (desde avanzadas-Red remota, añado cada una de las 3 redes): sólo me accede a la primera de la lista, en cambio no "ve" las otras dos. En este caso sí puede salir por internet porque lo hace por su conexión local.
* Si pruebo con cada una de las 3 redes por separado (es decir, primero pongo en red remota la 192.168.1.x y me conecto, desconecto, cambio la red remota por la 192.168.50.x, etc...) funcionan las 3 por separado y sigo saliendo a Internet sin problemas por la red local.
* Si pruebo a poner en la red remota 0.0.0.0/0.0.0.0, sólo me conecta a una de las redes y no me funciona Internet (aunque le creo la política de wan1 a wan1 con ipsec de la misma vpn).

En fin, que me estoy volviendo loco. Alguien sabe qué estoy haciendo mal? Alguna otra solución (usar el cliente SSL, por ejemplo)...
Muchas gracias por aguantar el rollo y leer hasta el final...

Saludos.

hola, como estas? te recomiendo que armes la vpn en modo tunnel. (habilitando en phase1 Enable IPsec Interface Mode _) y haciendo politicas desde la interface virtual creada hacia las distintas redes,
luego te falta la ruta estatica hacia las ips de los fortilcient.

la doc se ecnuentra en:
[Debes identificarte para poder ver enlaces.]

saludos

Buensa tardes,

Bueno, primeramente decir que es importante la interfas con la que cuentas, pues las opciones que tienes en cada una, inclusive en el mismo equipo una vez que has hecho un unpgrade, suelen cambiar.

Yo tengo un Fortinet 110C con una versión de Firmware: v4.0,build0279,100519 (MR2 Patch 1), asi es que aqui te detallo como se hace en ese equipo con ese firmware, espero te sirva.

En este caso no necesitas hacer VPN ni mucho menos, solo tienes que utilizar un puerto para cada subnet, o bien si cuentas con un switch administrable con capacidad de configudrar VLAN's, mucho mejor por que virtualizarias cada una de tus Subnets en un solo puerto. Como no tengo un switch asi, entonces me referiré al caso de utilizar un puerto del Fortigate para cada subnet.

1.- Primero, en el menu IR A SISTEMA-> RED->INTERFASES, ahi definir tu subnet con la dirección de tu compuerta (Gateway), que bien puede ser 192.168.X.1 ó en algunas ocasiones, según la planeación de tu red 192.168.X.254, etc. con su respectiva MASK 255.255.---.--- y ahi mismo, definir cuales son los servicios a los que puede acceder ese puerto (HTTP, HTTPS, PING, etc.) y una buena descripción del puerto. Aqui es todo.

2.- (Caso particular) En el Menú FIREWALL->IP VIRTUAL->IP VIRTUAL, definir los puertos de escucha si es que vas a necesitar entrar por VNC o acceder a MSQL, etc, para abrir dichos puertos.

3.- En el Menú FIREWALL->POLITICAS, vas a tener que crear tres políticas que van a servir para que tengas acceso de afuera (VNC, Escritorio remoto, etc.), PUERTO A (TU RED PRINCIPAL) -->> A PUERTO B (TU SUBNET), luego otra mas en sentido inverso a la primera es decir de tu SUBNET A TU RED PRINCIPAL, y una última para que permitas la salida a internet a tu subnet es decir DE PUERTO B -->> A LA WAN.

Con esto tienes tus subnets que, (en este esquema, dependerá de cuantos puertos tenga tu Fortinet ya que cada puerto será destinado para cada subnet), tendrán salida a internet y se podrán intercomunicar entre si.

Espero te sirva.
Saludos

Hola, como accedera con usuarios desde su casa? no entendi ese punto "betohres1957".

Yo no abriria, puertos vitales ymuy importantes como el del sql, o bien el archiconocido VNC, algun escritorio remoto etc,

para eso estan las vpn, o ipsec o ssl.

saludos

Hola buen día:

Mira, la apertura de puertos o el establecimiento de una VPN, es un factor que tu tienes que evaluar, ya que una VPN, en mi concepto, es un recurso que se utiliza, en una analogía, como para evitar extender un largo cable hasta donde deseas que una LAN remota se conecte a tu LAN de manera permanente o por largo tiempo.

Caso distinto a una VPN. Solo tendrías que abrir los servicios que sean necesarios, es decir Escritorio remoto (RDP, 3389/TCP), o a que servicios se van a conectar las personas que ingresen. Ahora como se van a conectar, Bien. Caso de escritorio remoto: Aqui si hay una especificidad, ya que se conectarán a un servidor específico (que tiene una IP específica) y para ello tendras que abrir en el Fortinet, los servicios para esa IP que va a dar el servicio y como supongo que tu Firewall ostenta una IP fija publica, entonces los que quieran entrar a ese servidor tendrán que teclear en la cedula del escritorio remoto, la IP pública de tu Firewall:puerto (Cuando abres el puerto para el escritorio remoto en el Firewall, es donde haces el direccionamiento de la IP PUBLICA hacia la IP privada de tu servidor y el redireccionamiento del puerto que abras porsupuesto) y separado con dos puntos de puntuación (:) el puerto que abriste para el escritorio remoto, Ej (IP:Puerto) -> 146.254.25.32:3389 y con ello estarías accediendo a el servidor por medio del escritorio remoto.

Desde luego que tu servidor tendrá que tener la seguridad necesaria como para solicitar una cuenta de usuarios y una contraseña a todas las personas que quieran conectarse a ese servidor.

No necesitarias abrir nada mas

Espero te haya aclarado

Hola, como persona que trabaja en seguridad e instalando y adminitrando firewall, lo que se trata de hacer siempre en casos de donde se necesitan abrir puertos comprometidos como un sql, vnc, escrotrio remoto etc, lo mejor es hacer una vpn, ya que por ejemplo para que abrir a internet un puerto de sql, que nunca se usa, salvo para hacer alguna consulta o menejar la base desder afuera. Por esto mismo siempre se aconseja una vpn, donde estara encriptada y autenticada, donde vo tendras control de quien tiuene esa vpn (ya sea ipsec con forticlient o ssl) con un usario y contraseña administrado por vos.

Eswto lo digo como buen consejo o bien una "buena practica", lo tomas o lo dejas, eso siempre es reesponsabilidad de cada uno.
saludos