Comunidad FORTIGATE.es

Buen dia todos, quisiera ver si me pueden orientar con el siguiente problema que tengo:

Tengo configurado en el Fortigate50B un VPN IPsec en modo interface para que mis usuarios con Forticlient se conecten a la red local y trabajen remotamente. LA VPN está funcionando correctamente, mis usuarios remotos pueden ver la red local, hacer ping a los diferentes equipos, pueden ver sus unidades mapeadas de los servidores locales y accesar a las carpetas así como recuperar archivos, accesar a equipos por telnet, SSH, etc.
Ahora están solicitando que los usuarios tengan instalado un sofphone en sus laptops para que tengas una extensión telefónica en sus equipos y estén en contacto con la oficina.

Aquí es donde viene el problema ya que el softphone no se conecta al conmutador telefónico, veo que el usuario remoto puede hacer ping hacia el conmutador, sin embargo desde la red local no responden los ping a la IP del usuario remoto que fue asignada por el DHCP-IPsec configurado en el Fortigate, solo puede hacerse ping y obtener respuesta desde el CLI del Fortigate a la dirección remota. Las políticas entre la interfaz interna y la interfaz VPN esta all all always any accept y con el NAT desactivado.

Ya cree una ruta estática apuntando a la interfaz de la VPN, pero sigue igual sin responder. El direccionamiento de la red local y la asignada por el DHCP es distinto. ¿Es necesario que se le asigne una IP e IP Remota en la interfaz virtual de la VPN?

¿Que otra cosa tendría que configurar o revisar?
Espero puedan ayudarme, saludos!

Ningún tip al respecto?

Ya puse IP en la interface y nada ... help!

Hola,

¿Que ocurre cuando desde el conmutador haces un traceroute hacia alguna IP que tenga un usuario remoto?. ¿Donde se pierde?.

Saludos.

Hola, proba de configurar un perfil voip y apñlicarlo en la politica hacia la central tele.

Disculpen, ahora fui yo el que tardo, hubo una situacion ayer, pero bueno.

jbsd:
Gracias por tu comentario, el usuario remoto recibe una ip 10.10.2.11 del DHCP-ipsec del FG , la red interna tiene el direccionamiento 172.16.0.x, realice un traceroute desde el conmutador telefónico y desde el switch, muestra que después del fortigate(172.16.0.200) me envía a la IP 10.95.128.1 ... no tengo idea de donde es esa IP:

[root@adg_mad mtcl]# traceroute 10.10.2.11
traceroute to 10.10.2.11 (10.10.2.11), 30 hops max, 38 byte packets
1 route (172.16.0.201) 2.199 ms 2.129 ms 2.164 ms
2 fg_adg (172.16.0.200) 0.216 ms 0.182 ms 0.174 ms
3 10.95.128.1 (10.95.128.1) 9.822 ms 9.933 ms 9.050 ms
4 * * *
5 * * *
etc.

Al parecer no la esta enviando por el tunel. y como comentes si hago ping desde el fortigate, ahi si me responde la 10.10.2.11.

Que opinan?


gabyrossi:
Gracias por tu sugerencia, no me queda muy claro, es crear un perfil en "UTM Profile" y este activarlo en una regla que vaya de la interfaz VPN a la IP especifica de la central?


Saludos