Comunidad FORTIGATE.es

Hola buen día, antes que nada quisiera agradecer a todo aquel que se tome la molestia de leer mi caso y emitir alguna opinión. Por otra parte quisiera también hacer de su conocimiento que no estoy especializado en seguridad ni mucho menos, soy un egrasado de la carrera de redes que empieza a laborar y en la empresa para la cual trabajo tienen un par de Fortigate 60D, a los cuales he tenido que hacer algunas configuraciones siguiendo el cookbook.

Sin más me gustaría plantearles el problema al cual me estoy enfrentando:

Se ha creado una VPN para que los usuarios remotos puedan acceder a los recursos que se encuentran en las oficinas centrales, la VPN ha sido creada siguiendo el template "Dialup - FortiClient (Windows, Mac OS, Android)" ha sido creado también un grupo de usuarios poblados por todos aquellos usuarios que se pretende se conecte de manera remota, estos usuarios se han creado de manera local en el Fortigate.

Durante la creación de la VPN se ha seleccionado el checkbox que se supone habilita el split tunneling y acto seguido en el apartado que se habilita para seleccionar a que redes se pueda tener acceso mediante la VPN, se ha hecho referencia a un objeto que he nombrado VPNCLI-Subnets. Dicho objeto es un rango de red que abarca todas las subnets de la compañía, así como también se establece el rango de direcciones que se otorgará a los usurios remotos . Al probar la conexión utilizando el forticlient, la conexión se realiza de manera satisfactoria y al probar la conectividad hacia todas las subredes utilizando el ping, si hay conectividad hacia cada una de las subredes de la empresa.

El problema radica en el hecho de que a la hora de establecerse la conexión VPN se pierde el acceso a internet de la red local por lo que entonces pareciera que el split tunneling no está haciendo su trabajo. Olvidaba comentar que la VPN es IPsec


Quisiera saber si alguno de ustedes tiene idea del por que de este comportamiento o de si estoy saltando algún paso.

hola,

Que version de forti OS usan tus fortigates?, solo faltaria que tengas una politica en la cual das salida a internet a tu interfaz VPN.

Interface VPN_IPsec ----> WAN1 o la interface que tengas para brindar el acceso a internet.

Hola makco10 gracias por atender mi mensaje, la versión del firmware del fortigate es v5.2.3,build670 (GA).

En cuanto a la cuestión de las politicas solo tengo la que creé durante el wizard para realizar el tunel mediante el template y que quedó de la siguiente manera:

incoming interface: vpn_forticlient
source address: rango_vpnforticlient
outgoing int: any
Destination add: VPN_subnets ( las subredes de la oficina)
schedule: always
service: ALL
Action:Accept

Ahora por lo que me dices de crear otra politica que vaya hacia internet, me surge una duda. Según el concepto que yo tenía del split tunnel (por lo poco que sé y lo que investigué) el tráfico que va hacia internet no debía entrar al tunel de la VPN y salir por la red local, y el tráfico que va hacia las subredes de la empresa que si pase por el túnel llegue al fortigate y se tomen las acciones pertinentes.

Mi pregunta ahora sería, quiere decir que entonces todo el tráfico debe de pasar por el fortigate incluso el que va hacia internet?

Nuevamente muchas gracias por su atención.

correcto si tienes habilitado el Split Tunneling deberias de poder navegar con el internet local y al mismo tiempo acceder a la red remota.

Revisa este link para que valides tu configuracion, porque segun veo en tu politica tienes como interface de destino Any y deberia de ser la interface de tu red local. Tambien tienes que tener habilitado el Nat

[Debes identificarte para poder ver enlaces.]

Entiendo, ya he cambiado la interface internal en lugar de la de any, por lo que veo en el enlace que me pasaste debería generarse una entrada como una especie de ruta estática hacia las redes remotas y como gateway la interface generada por el forticlient, sin embargo creo que mi problema radica en el hecho de que la entrada que se agrega conmigo es una ruta por default, y además de ser una ruta por default la métrica es menor por lo que todo el tráfico opta por salir por ahí, adjunto encontrarás un par de imágenes que expresan gráficamente lo que intento exponer.