Comunidad FORTIGATE.es

Hola amigos. Tengo un FortiGate 80C . Version firmware v.04 MR3 Patch15 .
Tengo dos DC primario y secundario, configurados ambos con el agente FSSO. Los distintos equipos de la red repartidos en tres vlan(vlan10, vlan7, vlan5 las tres vlan pueden verse entre si) , se conectan a internet y se le aplican distintas politicas de WebFiltering en funcion del usuario. Esto funcionó correctamente hasta que hace un para de dias dejó de funcionar para los usuarios que se conectan desde equipos de la Vlan10.
En el agente FSSO en el DC aparece la lista de todos los usuarios logeados correctamente de todas las vlan. En el Forti aparecen en el apartado de FSSO aparecen correctament todos los grupos.
Ejecutando el comando "Diagnose debug authd fsso list" en el Forti aparece el listado completo de todos los usuarios logeados incluidos los de la vlan10. Dichos usuarios tienen acceso a internet pero no se le aplica la politica de webfilter.

El problema que pude detectar es el siguiente: en Menú==> USERS=>Monitor=>Firewall antes podía ver a todos los usuarios logeados, desde hace dos días solo se ven los usuarios de la vlan7 y vlan5 , pero no los de la vlan10. Repito, lo curioso es que tanto en los agentes, como haciendo en el forti un "diag debug auth fsso list" , aparece todo el listado incluidos los usuarios conectados desde la valn10.
¿Sabeis que problema puede estar pasando? No hemos hecho ningun cambio en nada, simplemente dejó de funcionar de un dia para otro. Los agentes registran correctamente los usuarios logeados, el Forti recibe la lista, sin embargo no aparece en USERS=>Monitor=> Firewall , y por lo tanto no se aplican las politicas basadas en identidad.


Os agradezco la ayuda , estoy un poco loco con este tema llevo varios dias y me estan metiendo mucha presion para arreglarlo. MUchisimas gracias.

En que Server lo tienes instalado?

Mira esto si tienes WS2008:

Technical Note : Allowing FSSO Ports when using Windows Server 2008:
[Debes identificarte para poder ver enlaces.]

Esto tambien te puede ayudar:

[Debes identificarte para poder ver enlaces.]

hola, la politica desde la vlan10 hacia internet esta correctamente configurada con los grupos y seteado el modo fsso ?

saludos.

he comprobado lo de los puertos, y están abiertos. También he revisado la documentación del link que me envía "macko10". Está todo correctamente , pero el problema continúa.

He desinstalado los agentes FSSO de los dos DC. He eliminado la politica basada en identidad, he eliminado todos los grupos creados en el Forti, y eliminado la conexion del FSSO en el forti. He instalado de nuevo en los DC la última versión del agente , del MR3 Patch15 , concreto la version "FSSO_Setup_4.3.0129.exe"

He configurado todo de nuevo en el forti, he creado los grupos nuevamente, y posteriormente he reconstruido la misma política. El resultado sigue siendo el mismo. Lo curioso es que siempre nos funcionó, no hicimos ningún cambio, y dejó de funcionar.
Os adjunto unas imagenes en las que se puede observar la política. Gabirossy , como puedes comprobar la politica creo que está correctamente configurada, pues en Direccion de Origen figura "All" , lo cual incluye todas las direcciones,las de todas las vlan. De internal1 a wan1 , de all a all. Y luego en funcion del grupo de usuario aplico UTM Webfilter.
Aqui podeis comprobar como haciendo un "diag debug auth fsso list" lista tanto los usuarios de la vlan10 (192.168.0.x) como los de la vlan5 (192.168.5.x). Podeis ver rodeado en blanco , un mismo usuario logeado en dos equipos de vlan distintas.

Si embargo en el Forti USERS>Monitor> Firewall solo figura para el usuario "User_Pruebas" que se logeó desde la IP 192.168.5.120 perteneciente a la vlan5,y aplicando la politia con ID 67, que es la que os mostré antes. pero no aparece que esté logeado el mismo usuario desde la ip 192.168.0.141 (Vlan10). Por lo tanto desde esta última ip no se aplica la política.

HOLA, PERDON....

pero cuando hablas de vlan... a que te refieres?

no tenes configuradas vlan tag en el fortigate?
como es eso?

saludos.

Me imagino que lo que tiene es VLAN Administradas por switches terceros y el concentrador de VLAN no es el Fortigate. Ya he visto estos escenarios y creo que es mejor dejar que el Fortigate hago todo el trabajo.

Seria mejor que pongas un diagrama mas detallado de tu configuracion para entender un poco mas.

Efectivamente. El escenario es el que comenta macko. Perdonad no haberme explicado bien.
DE todas formas ya he dado con el problema, y acabo de solucionarlo. Pensando en el modo de funcionamiento de las políticas, hasta acotar y dar con el fallo.

Antes de la política basada en identidad tengo una política para la navegación basada en IP que habilita la navegación sin restricciones a ciertos IPs específicas. Haciendo pruebas me di cuenta que si una conexión es tratada por una política por IP antes que por una política basada en identidad, los usuarios que se conecten desde esa IP ya no son monitorizados por FW.
Pensé que quizá esa política por alguna razón incluía todas las IP del rango 192.168.0.x , y por lo tanto ya no se monitorizaban para aplicar la siguiente política basada en identidad.
Así que buscando ahí, encontré un error de tontos. La semana pasada se añadió una dirección a la politica de navegacion sin restricciones, y a la hora de escribirla se puso mal la mascara de red. Introducimos el valor 192.168.0.33/255.255.255.0 Y al cerrar la ventana Forti la modificó correctamente a 192.168.0.0/255.255.255.0 . Con lo cual esa politica estaba permitiendo la navegacion, y a todas esas IPs ya no se le aplicaba la politica basada en identidad. Lo cual recalca la importancia de tener bien claro como ordenar las políticas.
Pido disculpas por las molestias, y muy agradecido de contar con vuestra ayuda. Haceis un buen trabajo.
GRacias.