Buenas soy nuevo y he descubierto esta web hoy mismo y me viene como anillo al dedo por que el soporte que da fortinet con los tickets es un tanto engorroso y lento.
Tengo un FortiGate 200A en el cual tenemos una VPN configurada para accesos externos como VPN-IPSEC, pero por lo que veo no se hacer que el forticlient me pida autentificación cada vez que conecta, conecta y deja entrar a la red, según me conto el que me vendio el fortigate, el forticlient usa los credenciales del usuario que inicio sesion en esa maquina, yo no se si es verdad o no eso, el caso es que quiero controlar quien conecta y que puede o no hacer.
He visto varios casos de problemas de gente parecidos aqui en el foro pero veo que en esos casos se usa VPN- SSL en vez de IPSEC en la acción de la politica de encriptación del fortigate y me estoy haciendo un lio gordo.
Si necesitan más info preguntenme pues necesito poner la autentificación por usuario y no se como, me da lo mismo que sea con AD o contra usuarios locales, tengo instalado FSAE en mis servers para otro tema que tampoco me funciona pero eso mejor otro dia, vamos con este mejor.
Muchas gracias de antemano a todos y espero poder contribuir yo algún día en este foro.
VPN Ipsec y autentificacion de usuarios
Re: VPN Ipsec y autentificacion de usuarios
Hola, como estas? Con el forticlient podras autenticar contra un radius, ldp, usuarios locales al fortigate.
para hacerlo sn varios pasos bastante largo de explicar. Pero funciona de 10.
te paso algunos link para que mires:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
algunos tips rapidos:
1-se configura el modo de autenticacion que quiera(ldap,radius,user locales), luego el grupo .
2- en el fortigate se arma una vpn dial-up, y en la phase1 se pedira xauth para el grupo que se armo anteriormente.
3- se configura el forticlient y en opciones avanzadas se tilda la opcion de xauth para que pida user y password.
saludos
Gabriel
para hacerlo sn varios pasos bastante largo de explicar. Pero funciona de 10.
te paso algunos link para que mires:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
algunos tips rapidos:
1-se configura el modo de autenticacion que quiera(ldap,radius,user locales), luego el grupo .
2- en el fortigate se arma una vpn dial-up, y en la phase1 se pedira xauth para el grupo que se armo anteriormente.
3- se configura el forticlient y en opciones avanzadas se tilda la opcion de xauth para que pida user y password.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN Ipsec y autentificacion de usuarios
Bueno de momento ya he coneguido la autentificaión por medio de usuarios locales del firewall, pero me gustaría hacerlo contra usuarios de AD, y no soy capaz de configurar mi servidor windows 2003 server como servidor ldap, siempre me devuelve la consulta de prueba con 0, alguna sugerencia???
Re: VPN Ipsec y autentificacion de usuarios
Hola, te dejo algunos link que te van a ayudar:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN Ipsec y autentificacion de usuarios
Nada, no soy capaz, también es cierto que no me aclaro mucho con las ou, dc, cn, etc, etc, pero hago la query al server y me devuelve que es cn pero no hay forma, no me valida el forticlient, os pongo una captura de mi esquema de ad a ver si me podéis ayudar algo más, junto con el dsquery.
No quiero filtrar por grupos y me da lo mismo donde este el usuario, según he leido si el Common Name Identifier y el Distinguished Name los dejo en blanco debería poder loguear con cualquier usuario dentro del arbol no importa donde este no???, pues no me va, tambien he probado con el tipo de bind, que lo tengo en regular pero consigo nada.
Yo tengo todos los usuarios dentro de Users colgando del dominio principal menos unos cuantos que tienen una politica. Por otro lado buscando he encontrado esto de otro post y ya no se si debo hacerlo yo tambien:
[Debes identificarte para poder ver enlaces.]
Pero bueno si hay que hacerlo con un usuario no me importa.
Si necesitais mas info os la puedo proporcionar, un saludo y gracias por vuestra ayuda.
No quiero filtrar por grupos y me da lo mismo donde este el usuario, según he leido si el Common Name Identifier y el Distinguished Name los dejo en blanco debería poder loguear con cualquier usuario dentro del arbol no importa donde este no???, pues no me va, tambien he probado con el tipo de bind, que lo tengo en regular pero consigo nada.
Yo tengo todos los usuarios dentro de Users colgando del dominio principal menos unos cuantos que tienen una politica. Por otro lado buscando he encontrado esto de otro post y ya no se si debo hacerlo yo tambien:
[Debes identificarte para poder ver enlaces.]
Pero bueno si hay que hacerlo con un usuario no me importa.
Si necesitais mas info os la puedo proporcionar, un saludo y gracias por vuestra ayuda.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Re: VPN Ipsec y autentificacion de usuarios
Hola, a ver algunas aclaraciones:
Dependiendo de que se ponga en el Cammon Name Identifier y Distinguished Name será lo que pondrás como usuario y contraseña en el logueo.
Si dejás en blanco los campos Cammon Name Identifier y Distinguished Name podrás usar el Full Name del usuario o la cuenta@dominio del LDAP.
Proba con esto:
Comandos útiles y necesarios para verificar y testear autenticación:
1- Comando para probar autenticacion contra un LDAP via el AD:
diagnose test authserver ldap <nombre del LDAPserver> <usuario> <pass>
Ej: en LDAP
Con "Common Name identifier" y el "Distinguished Name" en BLANCO se puede probar autenticar usando el "logon name" completo con dominio
Por ej: si en el AD de prueba hay una cuenta asi:
Full Name = Pepe Prueba
full logon user= pepe@dominio.com
pass= pepepe
y el LDAP se llama 'ldapsrv'
Al correr el comando siguiente:
# diagnose test authserver ldap otro 'Pepe Prueba' pepe
authenticate 'Pepe Prueba' against 'ldapsrv' succeeded!
#diagnose test authserver ldap ldapsrv pprueba@dominio.com pepe
authenticate 'pprueba@dominio.com' against 'pepe' succeeded!
Si no logras de que te respondan con los mensajes que ves aca es que no se esta comunicando el ldap con el fortigate como debe ser.
2- Comando para ver la lista de usuarios autenticados y la posibilidad de resetearles la autenticación sin esperar timeout:
diagnose firewall iprope authuser
Ej:
# diagnose firewall iprope authuser
username: pepe
(grouptest(ldapsrv))
source: (números IP del usuario autenticado)
Para removerlo de la lista de autenticados:
FTG # diagnose firewall iprope resetauth
se ver que no queda nadie autenticado:
FTG # diag firewall iprope authuser
FTG #
espero que sirva
saludos
Gabriel
Dependiendo de que se ponga en el Cammon Name Identifier y Distinguished Name será lo que pondrás como usuario y contraseña en el logueo.
Si dejás en blanco los campos Cammon Name Identifier y Distinguished Name podrás usar el Full Name del usuario o la cuenta@dominio del LDAP.
Proba con esto:
Comandos útiles y necesarios para verificar y testear autenticación:
1- Comando para probar autenticacion contra un LDAP via el AD:
diagnose test authserver ldap <nombre del LDAPserver> <usuario> <pass>
Ej: en LDAP
Con "Common Name identifier" y el "Distinguished Name" en BLANCO se puede probar autenticar usando el "logon name" completo con dominio
Por ej: si en el AD de prueba hay una cuenta asi:
Full Name = Pepe Prueba
full logon user= pepe@dominio.com
pass= pepepe
y el LDAP se llama 'ldapsrv'
Al correr el comando siguiente:
# diagnose test authserver ldap otro 'Pepe Prueba' pepe
authenticate 'Pepe Prueba' against 'ldapsrv' succeeded!
#diagnose test authserver ldap ldapsrv pprueba@dominio.com pepe
authenticate 'pprueba@dominio.com' against 'pepe' succeeded!
Si no logras de que te respondan con los mensajes que ves aca es que no se esta comunicando el ldap con el fortigate como debe ser.
2- Comando para ver la lista de usuarios autenticados y la posibilidad de resetearles la autenticación sin esperar timeout:
diagnose firewall iprope authuser
Ej:
# diagnose firewall iprope authuser
username: pepe
(grouptest(ldapsrv))
source: (números IP del usuario autenticado)
Para removerlo de la lista de autenticados:
FTG # diagnose firewall iprope resetauth
se ver que no queda nadie autenticado:
FTG # diag firewall iprope authuser
FTG #
espero que sirva
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN Ipsec y autentificacion de usuarios
Bueno, bueno, parece que por fin funciona, el problema era que no ponía bien el nombre de usuario a conectar que seria usuario@dominio.es, no ponia el @dominio.es pues no lo usamos nunca. Vale el tema funciona ya para todos los usuarios o por lo menos para todos los que he probado!!.
Por otro lado tengo una ultima pregunta, pero esta es más curiosidad que otra cosa. ¿Por que usamos para esto usurios Firewall en vez de usuarios de Directory Service???, es que no funciona con usuarios de Directory service verdad??, en mis pruebas vi que si usaba usuarios de firewall no me dejaba activar el fortigate como servidor xauth.
En fin, lo dicho y muchas gracias gabyrossi por tu ayuda, en breve estare por aquí con otras consultas que tengo pendientes.
Gracias por todo.
Por otro lado tengo una ultima pregunta, pero esta es más curiosidad que otra cosa. ¿Por que usamos para esto usurios Firewall en vez de usuarios de Directory Service???, es que no funciona con usuarios de Directory service verdad??, en mis pruebas vi que si usaba usuarios de firewall no me dejaba activar el fortigate como servidor xauth.
En fin, lo dicho y muchas gracias gabyrossi por tu ayuda, en breve estare por aquí con otras consultas que tengo pendientes.
Gracias por todo.
Re: VPN Ipsec y autentificacion de usuarios
hola, como estas? no entendi.... cual es tu duda? porque no entendi..
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN Ipsec y autentificacion de usuarios
Vale, no soy demasiado buen comunicador, veamos:
Para poder activar el xauth en la fase de 1 de la vpn, tuve que configurar un servidor ldap y este añadirlo a un user gruop de tipo Firewall, si desplegamos el type vemos que pone Directory Service tambien y la pregunta es por que no usa ese tipo de usuario en vez de montar pirulas con usuarios firewall y servidores ldap???
No se si me explico
Para poder activar el xauth en la fase de 1 de la vpn, tuve que configurar un servidor ldap y este añadirlo a un user gruop de tipo Firewall, si desplegamos el type vemos que pone Directory Service tambien y la pregunta es por que no usa ese tipo de usuario en vez de montar pirulas con usuarios firewall y servidores ldap???
No se si me explico
Re: VPN Ipsec y autentificacion de usuarios
hola, porque el ldap es disinto si hicieras grupos de AD usando el fsae.
solo que en vpn solo funciona en radius ldap y usuarios locales.
saludos
Gabriel
solo que en vpn solo funciona en radius ldap y usuarios locales.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN Ipsec y autentificacion de usuarios
gabyrossi escribió:hola, porque el ldap es disinto si hicieras grupos de AD usando el fsae.
solo que en vpn solo funciona en radius ldap y usuarios locales.
Ahí le has dao, eso es lo que quería saber, muchas gracias por tu ayuda y por tu tiempo gabyrossi
saludos
Gabriel