Comunidad FORTIGATE.es

Hola:
Tengo un fortigate 50B. Se ha establecido una VPN con otra empresa, que funciona correctamente. También se ha creado una VPN de marcado, para que usuarios con el Forticlient y una tarjeta 3G se conecten a la oficina, y también funciona correctamente. Y a partir de aqui, vienen los problemas.

Quiero hacer que los usuarios conectados desde la 3G puedan acceder a las máquinas del cliente, es decir, atravesar las dos VPN´s, pero me es imposible.

He probado configurando la VPN de marcado como tunel, sin políticas adicionales más alla de las básicas para conectar desde la 3G a la oficina, y no funciona.
He probado a configurarla como interfaz, y haciendo una política por la cual todo el trafico entre la interfaz y wan1 vaya con IPSEC (con las opciones de la VPN que ya está establecida entre las dos sedes y que si que funciona), y tampoco funciona.
He probado también a realizar lo mismo a través de SSL, y tampoco funciona (aunque tampoco lo esperaba, ya que leí que no se podía redirigir el tráfico de una VPN SSL a una IPSEC, pero por probar...).
He probado a crear un concentrador y poner las dos VPN´s en él, pero tampoco funciona.

¿Alguna idea?

Gracias de antemano

Salu2

Hola, como estas? yo creo que conectandote a una pc (vnc,escritrio remoteo)con forticlient y desde ahi ya podrias llegar a la red del otro lado. teniendo las politicas correspondientes y los ruteos.

saludos
Gabriel

Gracias por la pronta respuesta, Gabriel. Efectivamente, eso ya es posible, pero mi objetivo es poder hacerlo "directamente" desde el portátil, y no a través de un PC que ya tenga en la oficina.

Salu2

Hola, mmm nose si es posible, nunca lo probe...
Sera cuestion de analizar las redes, los ruteos... pero nose.
El forticlient cuando te conectas que ip toma? y como red remota que tiene config. ?

saludos
Gabriel

Hola Gabriel:
El equipo toma una dirección de la LAN de la oficina. Cuando hago tracert 192.168.1.X (que es la red de la oficina) llega a su destino, obteniendo como primer salto el gateway de la oficina (192.168.1.254).

Sin embargo, si hago tracert a 172.16.1.X, que es la red de la otra empresa, comienza con la IP 192.168.10.X en el primer salto, por lo que entiendo que estará tratando de salir por la conexión de la propia tarjeta 3G, y no por el túnel.

Si creo una ruta para que todas las IP´s del estilo 172.16.1.X vayan por 192.168.1.254 en el portatil, ni siquiera hace el primer salto.

¿Alguna idea? ¿Tal vez haya que configurar en el forticlient también la red de la otra empresa, para que sepa que la tiene que encaminar por el tunel?

Salu2

EDITO: "¿Tal vez haya que configurar en el forticlient también la red de la otra empresa, para que sepa que la tiene que encaminar por el tunel?" --> Efectivamente, la solución pasa por configurar la red remota tambien en el forticlient, en las opciones avanzadas. De esta forma, con crear la/s política/s necesaria/s en el fortigate para establecer una VPN dial-in (en mi caso únicamente una, porque permito todo tipo de tráfico) y configurar la conexión en el forticlient, añadiendo además de la red destino (la red de mi empresa), la red de la otra empresa, es suficiente.

Gracias por la ayuda prestada

Hola, como estas? Buenisimo que lo hayas solucionado, por eso te habia preguntado en el forticlient que tenias comored remota. Sabia que venia por ahi el problema.

suerte

Gabriel