Comunidad FORTIGATE.es

Saludos ingenieros.


He estado teniendo problemas con la creacion de Vpn Ssl en mi máquina, lo que sucede es que actualicé el firmware de mi máquina y desde entonces mis usuarios logran conectarse a la VPN pero no pueden ver nada, cuando doy ping desde el portal Web me sale que no tengo permisos para ello y desde hace unos momentos no logra conectarse al tunnel SSL (se conecta y desconecta).

La version que subí es la version 3 MR7 patch 6.

Que puede ser?


Agradezco sus comentarios.

hola, como estas? que version tenias antes????

chequea la ruta estatica si quedo bien la mascara de la red del ssl...

chequea este link :

[Debes identificarte para poder ver enlaces.]

saludos

Hola Gabriel.

Te cuento que el proyecto en el que ando desde hace rato marcha muy bien, claro! agradeciendo tu ayuda pues siempre me has dicho como resolver problemas.
En cuanto a la config de SSL la verdad no sabia que ahora es tan diferente, la verdad no recuerdo cual version tenia antes pero no tenia SSL.root para meterla en la reglas.

El enlace que me diste resuelve mi duda.


Gracias!

Hola, claro si no tenias ssl.root era porque tenias alguna version anterior a la mr6.

con el enlace que te pase, podras resolverlo

saludos

Gabriel.


Me he visto en la necesidad de preguntarte algo más sobre la configuración de VPN-SSL, he hecho varias pruebas y no me funciona el autenticar usuarios que tienen password en LDAP, solamente acepta usuarios con password local, a que se debe esto?

Para probar lo anterior, lo que hice es crear una VPN-ssl hacia una vlan en el forti y le permití acceso a usuarios con password tanto local como en LDAP y solamente acceden los que tienen password local.

Gracias.

Hola, como estas? probaste si desde el fortigate te autentica los user? mas que nada paa probar si esta bien configurado el ldap.
hiictse un grupo ssl y le agregaste el grupo de ldap?


saludos
Gabriel

Hola Gabriel.


Si, lo que he probado es que desde el fortigate por comandos los usuarios en LDAP sean consultados y funciona bien... ya tengo un grupo de usuarios con nombre de usuario Local y password en LDAP que utilizan VPN IPSec a estos mismos los puse en SSL y no me autentican solo lo hacen cuando les pongo el Password localmente.

Igualmente revise una y otra vez que las reglas estén bien, algo que no me deja duda porque funciona de una cuando les cambio el password para que sea local. ¿Será un problema en el Firmware ( versión 3.0 MR7 Patch 6)?


Saludos.

hola a ver.
por ldap tenes que armar un grupo .... autenticas contra ese grupo.
si no te funciona es algun problema de configuracion de ldap

puedes pegar la config del fortigate del ldap?

luego la de los grupos??

saludos

Hola Gabriel.

Las configuraciones son:

config user ldap
edit "LDAP"
set server "10.29.10.58"
set cnid "uid"
set dn "l=gestion.internet,cn=emcali.net.co,o=emcali"
set filter ''
next
end

Prueba de LDAP

diagnose test authserver ldap LDAP camilo.villota XXXXXX
authenticate 'camilo.villota' against 'LDAP' succeeded!

Mi usuario Local con password LDAP

config user local
edit "camilo.villota"
set type ldap
set ldap-server "LDAP"
next
end

Config de Grupo

config user group
edit "administrador"
set group-type sslvpn
set sslvpn-tunnel enable
set member "camilo.villota"
next
end

Y las reglas:

config firewall policy
edit 170
set srcintf "port4"
set dstintf "Vlan-100"
set srcaddr "SSL-Pool"
set dstaddr "gestion-1"
set action ssl-vpn
set schedule "always"
set service "HTTP" "HTTPS"
set groups "administrador"
next
end

config firewall policy
edit 169
set srcintf "ssl.root"
set dstintf "Vlan-100"
set srcaddr "ANY"
set dstaddr "gestion-1"
set action accept
set schedule "always"
set service "HTTP" "HTTPS"
next
end

config router static
edit 4
set device "ssl.root"
set dst 14.7.7.0 255.255.255.0
next
end

Eso es lo que tengo, en que estoy equivocándome.....

Hola, lo del user local con pass ldap, no es asi.

una vez configurado el ldap, tienes que hacer un grupo ssl vpn y agregar el ldap dentro.
luego autenticas el ssl contra ese grupo


saludos

Hola.

Oye pues realmente creía que podía funcionar así ya que para las VPN-IPsec tengo mi usuario configurado de esa manera y funciona bien utilizando el nombre de usuario localmente y buscando el password en el LDAP eso me deja la duda.

Gracias.

Probalo de la manera que te digo.
saludos