Comunidad FORTIGATE.es

Estimados, buenás tardes!

Tengo un inconveniente.
Actualmente tengo 2 o tres "tipos" de SSL VPN en el sentido de que algunos usuarios o grupos se conectan a la red interna para hacer cosas distintas.
Todos en modo tunel, algunos con acceso solo a un servidor por RDP, otros acceso a todos los servicios, etc.

El problema en común, es que tengo todas las políticas creadas para que esto funcione pero no veo a ningún cliente. Me refiero a que no puedo pinguearlo, hacer un vnc, rdp o lo que sea. Calculo que me falta alguna política.

Acá les muestro un caso:

Portal configurado con el tunel andando, el usuario autentifica y conecta con el rango asignado perfectamente.

Ruta estática:

Destination IP/Mask: 10.20.30.[1-20]
Device: ssl.root
Gateway: 0.0.0.0
Distance:2
Priority: 0

Primer Policy:

Source Interface/Zone: WAN1
Source Address: ALL
Destination Interface: internal
Destination Address: ServidorX
Action: SSLVPN
**
Rule ID User Group Service Schedule UTM Logging
1 XX_USER_GROUP RDP always SI SI

Segunda Policy:

Source Interface/Zone: ssl.root
Source Address: RANGO_IP_SSL_XXX
Destination Interface: internal
Destination Address: ServidorX
Schedule: Horario de oficina
Service: RDP
ACtion: Accept
Log allowed traffic: SI
Enable NAT

Tercera policy:

Source Interface/Zone: internal
Source Address: all
Destination Interface: ssl.root
Destination Address: RANGO_IP_SSL_XXX
Schedule: Horario de oficina
Service: ANY
ACtion: Accept
Log allowed traffic: SI
Enable NAT

Esta policy no debería dejarme hacer ping, vnc, rdp o lo que fuere a un cliente conectado?

Otra cosa, no configure otra politica desde ssl.root a wan1 porque en el modo tunel esta configurado Split Tunneling, para que los usuarios NO naveguen por internet a travéz de la VPN si no que utilicen su propia salida donde se conectan.

Si precisan alguna información se las escribo o pongo foto.
Precico cuanto antes poder acceder a los clientes conectados.

Muchisimas gracias de antemano!!!

Saludos,
Diego

Hola, como estas?

las politicas estan bien, yo le sacaria el NAT. No es necesiario.

yo lo que probaria es si esas maquinas aceptan ping o acceso por rdp. eso lo verificaste?
si una de esas maquinas que intentas acceder y no podes la conectas en la red lan, si podes?

supongo que la red ssl es diferente a tu red lan.
tambien supongo que las pc a las cuales queres conectarte no tengo activo algun firewall o antivirus.

saludos.

Hola gabyrossi, gracias por la respuesta.

1- Deshabilite el nat.
2- Aceptan ping y acceso por rdp seguro, por ejemplo, puedo entrar al escritorio remoto desde internet. Es más, las pruebas las estoy realizando yo desde el equipo cliente por escritorio remoto.
3- La subred donde esta el fortigate es 192.168.1.x, la de la subred remota: 192.168.10.x y la ssl: 10.20.30.x
4- Tiene el firewall y antivirus desactivado...

Saludos!

hola, tenes mas de 1 wan usando policy routes?

saludos-

Hola Gabriel, como estas?

Mirá, no tenía 2 wan usando policy route, solo una (WAN1). Pero... mi equipo estaba involucrado para que todo el tráfico saliente se dirija por esa.
Fue eliminar la política y volvió a funcionar todo con normalidad.

Resumiendo, ahora puedo pinguear (o utilizar cualquier servicio que habilite) a los clientes que se conectan por la vpn.
Nuevamente gracias y te felicito por la mano que das a la gente de este foro.

Saludos,
Diego

hola, ok... por suerte me di cuenta que podia ser una policy routes. es un caso tipico cuando hay mas de una wan usando policy routes...

saludos.