Problemas con VPN, conecta y pierde LAN
Publicado: 22 Feb 2016, 19:20
Hola a todos en el Foro , tengo una problemita con la configuración de una VPN al conectarme a esta a travez del forticlient me deja de lado todo lo que esta en mi lan y esto es fatal pues los recursos de impresion que necesito al mismo tiempo estan sobre ip , les doy loos detalles de como desplegue la VPN y caracteristicaz de los equipos y redes
la unidad fortigate es un 200b con el firmware v5.0,build0228 (GA Patch 4) la interfaz wan esta en el puerto 9 y los servicios a os cuales intento acceder estan en el puerto 3 el forticlient es la version 5.0.1.194
para la VPN de tipo remoto segui los videos de configuracion usando el wizard para su despliegue los pasos fueron los siguientes:
1)Creacion de usuarios para conexion a travez del cliente y un grupo para ellos.
2) en objetos de firewall cree un grupo de direcciones para los servidores remotos a los cuales van a conectarse los usuarios
y los meti en un grupo de direcciones.
3)Para la creacion de la VPN en la seccion de VPN seleccione IPSec -->Auto Llave IKE
-->Create VPN Wizard
-->3.1 Configuracion de VPN: Nombre xxx_VPN, Tipo: Dial Up Forticlient Windows Mac android
-->3.2 Autenticacion: Metodo de autenticacion llave pre-compartida , Grupo de usuarios Mis usuarios del paso 1
-->3.3 Red: Interfaz Saliente Local:mi wan (puerto 9), Rango de direcciones: 192.168.10.x - 192.168.10.y
mascara de red 255.255.255.0 , DNS: especificos 8.8.8.8, habilitar tunel dividido spit tunnel ipv4 , Redes accesibles:
mi rango interno para los servidores de aplicacion.
---4) Detalle de phase 1)
---5) Detalle de phase 2)
-->6) Debajo de la interfaz 9 de la unidad FG aparaecio el tunnel de la interface de la siguiente forma:
-->7) Las politicas estan de la siguiente forma:
Politica VPN a Puerto 3**************************
Tipo de Política: Firewall
Subtipo de Política: Dirección
Interfaz Entrante: VPNRECAUDA
Dirección Origen: all
Interfaz Saliente: port3
Dirección Destino: servers-p
Horario: always
Servicio: ALL
Acción: ACCEPT
Habilitar NAT:SI
****************************************************
Politica VPN a Puerto 9************************
Tipo de Política:Firewall
Subtipo de Política: Dirección
Interfaz Entrante: VPNRECAUDA
Dirección Origen: all
Interfaz Saliente: port9
Dirección Destino: all
Horario: always
Servicio: ALL
Acción: ACCEPT
Habilitar NAT: SI
*********************************************************
Con ellas logroque conecte la VPN y que tengan conexion a internet los equipos remotos , pero sigo sin poder ver los recursos de cada una de las LAN remotas como impresoras y documentos compartidos.
El fortiClient esta configurado de la siguiente forma:
en VPN esta como VPN ipsec con nombre descripcion y direccion de gateway remoto : ej. 1.1.1.1
metodo de autenticacion clave precompartida: xxxxxxx
Autenticacion(XAuth): preguntar siempre el login
en ajustes avanzados: configuracion de VPN:
modo: aggressive
Opciones: Modo de Configuracion
en la fase 1 :
encripcion AES128 autenticacion SHA1
encripcion AES256 autenticacion SHA256
DH group: 5
vide de clave 86400
id local "sin configurar"
detetccion de par puerto DPD: activado
Nat traversal: activado
en la fase 2 :
encripcion AES128 autenticacion SHA1
encripcion AES256 autenticacion SHA1
vide de clave 43200
Habilitar deteccion de repeticiones : activado
Habilitar perfect forward secrecy (FPS): activado
DH group :5
De antemano gracias por tomarse la molestia de revisar mi configuracion y esperando me puedan ayudar con este tema de dividir correctamente en Tunel para poder acceder a los servidores de aplicacion y al mismo tiempo a los recursos locales (impresoras) .
Un saludo.
la unidad fortigate es un 200b con el firmware v5.0,build0228 (GA Patch 4) la interfaz wan esta en el puerto 9 y los servicios a os cuales intento acceder estan en el puerto 3 el forticlient es la version 5.0.1.194
para la VPN de tipo remoto segui los videos de configuracion usando el wizard para su despliegue los pasos fueron los siguientes:
1)Creacion de usuarios para conexion a travez del cliente y un grupo para ellos.
2) en objetos de firewall cree un grupo de direcciones para los servidores remotos a los cuales van a conectarse los usuarios
y los meti en un grupo de direcciones.
3)Para la creacion de la VPN en la seccion de VPN seleccione IPSec -->Auto Llave IKE
-->Create VPN Wizard
-->3.1 Configuracion de VPN: Nombre xxx_VPN, Tipo: Dial Up Forticlient Windows Mac android
-->3.2 Autenticacion: Metodo de autenticacion llave pre-compartida , Grupo de usuarios Mis usuarios del paso 1
-->3.3 Red: Interfaz Saliente Local:mi wan (puerto 9), Rango de direcciones: 192.168.10.x - 192.168.10.y
mascara de red 255.255.255.0 , DNS: especificos 8.8.8.8, habilitar tunel dividido spit tunnel ipv4 , Redes accesibles:
mi rango interno para los servidores de aplicacion.
---4) Detalle de phase 1)
---5) Detalle de phase 2)
-->6) Debajo de la interfaz 9 de la unidad FG aparaecio el tunnel de la interface de la siguiente forma:
-->7) Las politicas estan de la siguiente forma:
Politica VPN a Puerto 3**************************
Tipo de Política: Firewall
Subtipo de Política: Dirección
Interfaz Entrante: VPNRECAUDA
Dirección Origen: all
Interfaz Saliente: port3
Dirección Destino: servers-p
Horario: always
Servicio: ALL
Acción: ACCEPT
Habilitar NAT:SI
****************************************************
Politica VPN a Puerto 9************************
Tipo de Política:Firewall
Subtipo de Política: Dirección
Interfaz Entrante: VPNRECAUDA
Dirección Origen: all
Interfaz Saliente: port9
Dirección Destino: all
Horario: always
Servicio: ALL
Acción: ACCEPT
Habilitar NAT: SI
*********************************************************
Con ellas logroque conecte la VPN y que tengan conexion a internet los equipos remotos , pero sigo sin poder ver los recursos de cada una de las LAN remotas como impresoras y documentos compartidos.
El fortiClient esta configurado de la siguiente forma:
en VPN esta como VPN ipsec con nombre descripcion y direccion de gateway remoto : ej. 1.1.1.1
metodo de autenticacion clave precompartida: xxxxxxx
Autenticacion(XAuth): preguntar siempre el login
en ajustes avanzados: configuracion de VPN:
modo: aggressive
Opciones: Modo de Configuracion
en la fase 1 :
encripcion AES128 autenticacion SHA1
encripcion AES256 autenticacion SHA256
DH group: 5
vide de clave 86400
id local "sin configurar"
detetccion de par puerto DPD: activado
Nat traversal: activado
en la fase 2 :
encripcion AES128 autenticacion SHA1
encripcion AES256 autenticacion SHA1
vide de clave 43200
Habilitar deteccion de repeticiones : activado
Habilitar perfect forward secrecy (FPS): activado
DH group :5
De antemano gracias por tomarse la molestia de revisar mi configuracion y esperando me puedan ayudar con este tema de dividir correctamente en Tunel para poder acceder a los servidores de aplicacion y al mismo tiempo a los recursos locales (impresoras) .
Un saludo.