Comunidad FORTIGATE.es

Buen día señores.

Ando de vuelta por acá con un tema que aún no he tenido muy claro sobre VPN, pues desde hace rato he tratado de encontrar la manera de configurar varias VPN IPsec en modo interface o política para poder definir el grupo de usuarios definidos a cada VLAN...en detalle sería algo así.

Tengo 7 VLAN en un solo puerto.
Tengo 30 usuarios de gestion que debo hacerles acceder a su respectiva VLAN unicamente.
Tengo esos 30 usuarios con sus respectivos login y password en el firewall y definidos en varios user group, por ejemplo: 10 solamente deben ingresar a la VLAN 100, 10 entrarian solamente a la VLAN 200 y los otros 10 entrarian a la VLAN 100 y 200.

Con lo anterior lo que pretendo es encontrar la manera de utilizar VPN IPsec de cualquier modo para poder separar el acceso de estos usuarios...es decir que con su login y passwd accedan a la VPN y que esta le defina hacia que VLAN solamente puede entrar.

¿De que manera lo puedo lograr?¿Se puede crear varias VPN IPsec en algun modo definiendole su grupo de usuarios?

Agradezco sus comentarios.

Hola, como estas? que sea por ipsec con forticlient?
se me ocurre por interface, autenticando por cada grupo la politica para cada vlan correspondiente.

probaste eso?

saludos
Gabriel

Que tal Gabriel.

Disculpara pero no he captado bien lo que me sugieres....a ver si te entiendo:

¿Crear una VPN IPsec en que modo?
La parte de autenticar por grupo de usuarios a cada vlan....

Yo te entiendo que seria crear una VPN en modo interface autenticando el grupo de usuarios 1.....otra vpn modo interface autenticando el grupo de usuarios 2 y otra para el grupo 3.....eso es lo que me sugieres? Yo he probado eso pero no funciona ni en modo interface ni tampoco en modo política.

Ahhh y sí, seria con el forticlient.

Agradezco tu ayuda.

Hola, lo que yo probaria es hacer una sola vpn en modo interface y solo autenticar la politica hacia la vlan con cada grupo.


saludos

Ven, aclarame un poco a que te refieres con autenticar la politica hacia la vlan con cada grupo.

Gracias.

hola, cuando haces un apolitica de firewall, tenes una opcion de autenticarla contra algun grupo que tenes de usuarios.

saludos

Gabriel,

He probado lo que me sugieres habilitandole la opción de autenticar a los usuarios en la política....pero hay algo que no entiendo:

El usuario con el forticlient tiene los datos para iniciar la VPN y conectarse de una.
Como la VPN va dirigida a la interfaz LAN del firewall con la opción de autenticación no le puede hacer ping ni ssh a nadie hasta que se autentique.
¿Como hago para configurarle al usuario que ingrese login y passwd en el forticlient?.

Saludos.

hola, como estas? para eso deberias habilitar el xauth en la phase1 y luego configurarlo en el forticlient.

saludos

Hola,

Si, ya habia probado lo que me dices pero al habilitarle el xauth solamente puedo hacerlo para un solo grupo...

si, probaste que en ese grupo meter todos, y luego lo que autenticas es la politica hacia cada vlan para cada grupo?

saludos
Gabriel

Hola.

Te cuento que he estado probando lo que me dices pero, no le encuentro la forma de hacerlo de forma adecuada pues en user group tendria un solo grupo como dices, en VPN tendria una IPsec modo interfaz habilitado el Xauth para un solo grupo que reune a todos y al momento de crear las políticas de acceso para las Vlan tendria que habilitar el acceso para ese único grupo que tengo creado asi que todos estarian entrando a la VLAN....Estoy haciendo lo que entiendo que me dices...me disculpo si no es así.

Pensaba de repente que se podria crear varios grupos y luego reunirlos en otro algo asi como universal..pero no..

Saludos

Hola, te faltaria armar el grupo para cada vlan, para aplicarlo a cada politica

saludos

Hola Gabriel,

Ahora te he captado la idea que me has dado y me parece que sería interesante pues de esa manera podria hacer lo que necesito:

El grupo de usuarios general (reune a todos) es para que puedan autenticarse con la VPN y levantar el tunnel.
Los otros tres grupos son para aplicarlos en el acceso a cada vlan mediante política de autenticacion.

Me falta un paso que me esta dando problema:

Un usuario se conecta correctamente a la VPN modo interfaz y se autentica ya que tiene habilitado XAUTH para el grupo de usuarios general.
Luego de autenticar la VPN se levanta y el usuario necesita acceder a la vlan que le corresponde, asi que la política dice que si quiere acceder a su vlan primero debe entregar un login y password (Es aqui en donde no la he pillado, pues digamos que la idea es que el usuario solamente pueda utilizar SSH pero hasta no autenticar no lo va a poder hacer..... ¿como podria hacer que este usuario y los demás puedan entregar las credenciales?

He leído que hay 4 formas de hacerlo...(creo):

HTTPS, HTTP, FTP, Telnet.

Pero como se hace esto...?...no he encontrado un doc para eso.

Gracias.

Hola, tendras que tener algun servicio en esos protocolas para que se pueda autenticar con alguno de ellos y luego hacer lo que necesite.

solo es unaa idea.
probalo
saludos
gabriel