Conexión entre VPNs
Publicado: 16 Ene 2019, 15:25
Buenos días,
Tengo un problema que ya me esta dando dolor de cabeza . Lo voy a explicar con detalles para darme a entender.
Tengo un fortigate 60D con una vpn ipsec de la LAN interna (10.34.x.x) configurada, los usuarios se conectan en ella para tener acceso a las oficinas.
Todo correcto, hasta que tuvimos la necesidad de crear otro vpn ipsec para conectar con una IP específica (192.168.x.x) publicada en otras instalaciones.
Entonces en mi VPN -IPsec-tunnel tengo
VPN_1:
(LAN)(10.34.x.x) Con un rango de asignación de IP de 10.34.x.1 al 10
VPN_2:
( VPN_IP_public)(195.242.x.x) tengo en la Phase 2 local address 10.34.x.x a remote address 192.168.x.x (que es la IP publicada en las otras instalaciones)
En Policy y Object
Objects -Addresses
1- Name (ippublic) -Type (subnet) -Details (192.168.x.x)- Interface (Any)
2- Name (VPNRange) -Type (Iprange) -Details (10.34.x.1-10.34.x.10)- Interface (Any)
Policy-IPv4
1-De Internal to VPN_2 origen VPNrange destino Ippublic service All action accept NAt DISABLE.
2-De VPN_2 to Internal Origen IPpublic destina Iprange service All action accept NAt DISABLE.
EN cada ordenador que se quiere conectar a esta Ippublicada he puesto una ruta persistente en la que sale por la ip interna de la VPN .
Ejemplo : route -p add 192.168.x.x mask 255.255.255.0 10.34.x.x
El caso es que conectado desde red lan de las oficinas si que el routeo funciona puedes conectar con la Ippublicada , cuando haces un tracert a las Ippubliada 192.168.x.x sale por la 10.34.x.x , pero cuando te conectas con el forticlient con la VPN_1 y te asigna una Ip del rango de LAN . Al hacer un tracert se pierde y no conecta con la Ippublicada.
Tengo que hacer algún routeo estático en el fortigate? o alguna política para que termine de conectar?para que cuando se conecten por la VPN1 que es la que conecta a las oficinas puedan llegar ala Ippublicada.
Gracias de antemano , si necesitan mas info se las puedo facilitar.
Tengo un problema que ya me esta dando dolor de cabeza . Lo voy a explicar con detalles para darme a entender.
Tengo un fortigate 60D con una vpn ipsec de la LAN interna (10.34.x.x) configurada, los usuarios se conectan en ella para tener acceso a las oficinas.
Todo correcto, hasta que tuvimos la necesidad de crear otro vpn ipsec para conectar con una IP específica (192.168.x.x) publicada en otras instalaciones.
Entonces en mi VPN -IPsec-tunnel tengo
VPN_1:
(LAN)(10.34.x.x) Con un rango de asignación de IP de 10.34.x.1 al 10
VPN_2:
( VPN_IP_public)(195.242.x.x) tengo en la Phase 2 local address 10.34.x.x a remote address 192.168.x.x (que es la IP publicada en las otras instalaciones)
En Policy y Object
Objects -Addresses
1- Name (ippublic) -Type (subnet) -Details (192.168.x.x)- Interface (Any)
2- Name (VPNRange) -Type (Iprange) -Details (10.34.x.1-10.34.x.10)- Interface (Any)
Policy-IPv4
1-De Internal to VPN_2 origen VPNrange destino Ippublic service All action accept NAt DISABLE.
2-De VPN_2 to Internal Origen IPpublic destina Iprange service All action accept NAt DISABLE.
EN cada ordenador que se quiere conectar a esta Ippublicada he puesto una ruta persistente en la que sale por la ip interna de la VPN .
Ejemplo : route -p add 192.168.x.x mask 255.255.255.0 10.34.x.x
El caso es que conectado desde red lan de las oficinas si que el routeo funciona puedes conectar con la Ippublicada , cuando haces un tracert a las Ippubliada 192.168.x.x sale por la 10.34.x.x , pero cuando te conectas con el forticlient con la VPN_1 y te asigna una Ip del rango de LAN . Al hacer un tracert se pierde y no conecta con la Ippublicada.
Tengo que hacer algún routeo estático en el fortigate? o alguna política para que termine de conectar?para que cuando se conecten por la VPN1 que es la que conecta a las oficinas puedan llegar ala Ippublicada.
Gracias de antemano , si necesitan mas info se las puedo facilitar.