VPN SSL con fortigate 60c firm 4.0 MR3

[nervinbojorquez]

hola, quisiera ver si alguien puede iluminarme ya que tengo un problema con la VPN SSL.
conseguí un manual y seguí las instrucciones y mi VPN ssl modo túnel y funciono. los usuarios se conectaban a la red, entraban al servidor RDP. Pero si quería desde mi red interna, ir a hacia la maquina conectada por SSL nomas no podía encontrarla, por lo que cree una política de internal hacia SSL.root y tampoco soluciono mi problema.
lo peor fue que ahora los usuarios se conectan y ya no pueden ver al servidor de TS ni a ningún equipo en la red local como si solo se autentificara y no le diera acceso a nada.
borre todas las políticas y comencé de nuevo y, o sorpresa, ya no funciona nada de lo que intento para poder restablecer mis terminales, aun siguiendo paso a paso las instrucciones bajadas de la pagina de fortinet para mi equipo y con el firmware especifico.

por eso acudo a su valiosa ayuda para resolver mi dilema.

de antemano gracias.

[gabyrossi]

Hola, las politicas estan mal.

si usas mod tunel, tenes que tener al menos 3.

una de wan a red interna (o dodne quieras llegar) con accion ssl para el grupo ssl.

luego una politica desde ssl.root hacia la red interna (o donde quieras llegar).
luego otra desde la red interna hacia la ssl.root (para que puedas llegas a las masquinas conectadas si es que quieres).

Si en la configuracion del portal -> tunel mode -> tildaste split tunneling, no necesitaras otra politica (navegara por la conexion propia del que se conecte).
Si no la tildaste, tendras que hacer una politica desde el ssl.root hacia la wan, nateando (para que pueda tener internet cuando este conectado).

luego faltara la ruta estatica con destino -> red que le diste a la vpn ssl, con la i nterface ssl.root y distancia menor al gw de la wan.

Mas info en:
[Debes identificarte para poder ver enlaces.]

saludos

[nervinbojorquez]

Gracias por tu respuesta pero ya había creado las políticas como me mencionaste, de echo las cree nuevamente y el link que me proporcionaste es el mismo manual que me funciona la primera vez. y lamentablemente no me funciona, si tengo seleccionado split tunneling, se conecta a la VPN se registra pero no tiene comunicación con nada es lo que me intriga y no entiendo por que.

saludos

[gabyrossi]

la ruta la hiciste?
la red que le das al ssl es diferente que la lan?

saludos

[nervinbojorquez]

cree una ruta estatica 10.212.134.0/255.255.255.0 asignado a la interfaz SSL.root y un objeto de firewall llamado SSLVPN_Tunel que es un rango de de IP's 10.212.134[205-220] mi lan es 192.168.0.0/255.255.255.0 y créeme también le cambie la dirección de la ruta estática al mismo que la lan y no funciono. pero actualmente esta como te indico por que segui los paso de la configuración del manual que me enviaste.
1.- cree los usuarios los asigne al grupo VPN_TUNEL.
2.- cree la política de WAN_internte que es un grupo de dos servicios de Internet (WAN1 y WAN2) para todas hacia ssl.root hacia el gurpo de ips SSLVPN_tunel accion SSL-VPN y agregue el grupo de usuarios VPN_TUNEL.
3.- cree la politica de internal ==> todas ==> ssl.root para el grupo SSLVPN_TUNEL ==> siempre ==> todas las aplicaciones ==> aceptar
4.- cree la política de ssl.root ==> todas ==> internal ==>todas ==> siempre ==> todas las aplicaciones ==> aceptar
5.- cree la política de ssl.root ==> todas ==> WAN_Internet ==> todas ==> siempre ==> todas las aplicaciones ==> aceptar con NAT.

en VPN, SSL-VPN, configuración el POOL de direcciones es VPN_TUNEL es auto-firmado con llave cifrado por defecto y puerto por defecto, sin configuración avanzada de DNS ni WINS.
en VPN, SSL-VPN, portal en tunel-acces, en en widget de modo tunel le asigne modo ip: rango, pool de ip: VPN_TUNEL y que el tunes sea dividido.

esta es mi configuracion!! y como te comento los usuarios se registran, se les asigna la ip del rango autorizado pero no tienen acceso a ningun recurso de la red lan.

[gabyrossi]

hola, las pc de tu red tiene gw? el gw es la interface interna el fortigate?

saludos

[nervinbojorquez]

mi red internal es 192.168.0.1/255.255.255.0 con DHCP en dos rangos de 192.168.0.10 al 192.168.0.100 y del 192.168.0.190 al 192.0.210 el gateway en el mismo fortigate 60C que tiene la direccion 192.168.0.1 y tiene redundancia en el DNS osea que las maquinas tiene como dns primario el fortigate y como segunda opcion un servidor externo. las peticiones que llegan al fortigate se redirigen a dos servidore DNS uno de cada ISP por si llegara ha haber. sin embargo las dierecciones que reparte el SSL son las 10.212.134.(205-220) y reparte correctamente las direcciones pero no da gateway a ninguna de ellas. yo supongo por que esta en modo túnel dividido y su salida de Internet debe ser el del recurso de la maquina cliente.

ejemplo intena
192.168.0.17
255.255.255.0
192.168.0.1
192.168.0.1
200.33.146.209

ejemplo de direccion q reciben los clientes de forticlient SSLVPN
solo me da
10.212.134.205
255.255.255.0
DNS ipv4: 192.168.1.1

no tiene gateway y el dns no se de donde lo tomara.
saludos

[gabyrossi]

podrias mostrarme las rutas estaticas con las distancias de cada una?


usas politicas de ruteo?

saludos

[nervinbojorquez]

solo utilizo una en realidad mi red es pequeña y no necesita tanta política de ruteo

[gabyrossi]

hola, y que distancia tiene la wan?
si la wan tiene distancia 10 o menos, a la ruta de ssl, ponele una distancia de menor....

saludos

[nervinbojorquez]

la wan esta con 10 de distancia igual que la ruta estática
hice la prueba, le puse a mi ruta estática 9 y luego 6 y con ninguna funciono, sigue igual se autentifica pero no tiene acceso a ningún recurso de la red.
saludos

[gabyrossi]

hola, despues de las modif. podrias mostrar como querdaron las politicas?

saludos

[nervinbojorquez]

hice unos cambios en lugar que mi objeto fireway sea 10.212.134.[205-220] lo cambie por 10.212.134.0/255.255.255.0
y des habilite la opción de túnel dividido. si reparte correctamente el Internet con las políticas de la red local. pero lo mas importante que es que lleguen al servidor de TS nomas no funciona. cosa curiosa, anoche si pude entrar en un cliente y hoy por la mañana nomas ya no quiere, en fin ya no entiendo.
mis políticas quedaron así:

[nervinbojorquez]

faltaba la de sslroot a wan internet

[gabyrossi]

Hola, LA POLITICA DE INTERNET A SSL.ROOT ESTA MAL !!!

si revisas los post anteriores mio te dije que la politica de autenticacion es de wan a red interna !!!
Exactamente fue en mi primera contestacion a tu post:

una de wan a red interna (o dodne quieras llegar) con accion ssl para el grupo ssl.

saludos