Comunidad FORTIGATE.es

Tengo un fortigate 60b funcionando.
Ahora, quiero acceder al portal web SSL desde Internet. No quiero usar el servicio de túnel. Sólo acceder al portal y de allí ya arrancarán via bookmarks conexiones rdp con servidores interiores.
A ver, he activado SSL, creado un usuario, añadido a un grupo, y creado una policy firewall entrante que dispara SSL con ese grupo. No sé qué me falta. La cuestión es que haciendo 'diagnose snifer packet wan1' los paquetes llegan pero no hay ningún tráfico contestando. ¿Qué me falta?

hola, entras te aparece el rdp pero no llegas a ningun lado? la policy deberia ser de wan a internal...

hiciste la ruta estatica?

saludos

No me aparece nada en el navegador: no llego.
¿Ruta estática? Yo solo quiero acceder en modo web, no en modo túnel. Según lo que he leido no hace falta ninguna ruta estática para acceder simplemente en modo web. ¿Puede que tenga algo que ver con que tenga dos enlaces a internet activos con sendos virtualip para el correo smtp entrante? En ellos tengo la misma distancia y diferente prioridad. El acceso a internet lo tengo balanceados con pesos y los correos me pueden llegar indisttintamente por cualquiera de los 2 wans. Todo esto funciona bien, pero al ir a configurar el vpn no consigo acceder al portal...

Lo mismo me pasa si intento acceder al servidor PPTP del fortigate: lo configuro, le pongo el rango, el grupo... y el diagnose sniffer ve los paquetes de entrada intentando conectar con el puerto 1723 (paquetes syn) pero no hay ninguna respuesta por parte del fortigate ¿?

A ver: he quitado lo de tener dos wans, ahora solo tengo una.
Si hago una policy firewall que permita todo el trafico entrante el pptp funciona, aunque si restringo el servicio a pptp no ¿?
Y no consigo ver la maldita pantalla de login del portal web.
He seguido las instruciones de tooodas las guias de fortigate.
¿Por qué no responde el fortigate al tráfico ssl al puerto 10443? ¿La regla para dispararlo es wan2;source:all;internal1;destino:action:SSL-VPN y se añade al grupo de usuarios con service:any....

Buff, no pensé que perdería tanto tiempo con esto.

hola, nose que firmware tienes, pero si tienes apartir de mr6 o superior, si sigues este link tienes que funcionar:

[Debes identificarte para poder ver enlaces.]


si solo quieres via web y no tunel, no configures la politica de sslroot a internal ni de internal a ssl root.

saludos

Gabyrossi:

He conseguido ver la pantalla de login del portal ssl. Pero tengo un problema:

De wan a internal1 tengo 2 firewall policy:

1) Una virtuIP para redirigir el tráfico smtp a mi servidor de correo interno (funciona perfectamente)
2) La regla entrante que activa el SSLVPN.

Si desactivo la primera veo la pantalla de login del portal ssl. Si la activo entonces no veo la pantalla de login

¿Cómo hago para tener ambos servicios, el virtualIP para smtp, y acceder al portal ssl web?

Hola, que raro, no tiene nada que ver.

pon primera la politica del ssl y prueba-

saludos

El orden de las políticas no importa: lo he comprobado y el resultado es el mismo: cuando activo el virtualIP no se accede al portal ssl; cuando desactiva la policy del virtualIP entonces sí que aparece la pantalla de login del portal.
Tiene toda la pinta de que no puedas usar al mismo tiempo un virtualIP y el portal SSL. No sé a nivel CLI si hay algo especial que se pueda hacer, o cómo comprobar qué ocurre cuando se activan ambas reglas...

hola, como estas? Es extraño, nunca me paso y tengo configuracion con virtuales y politicas ssl conviviendo perfectamente.

que firmware estas usando?
saludos

Tenía el 4.0 MR1.
Ahora he actualizado al 4.0 MR1 Patch 1, pero el resultado es el mismo.
Lo único diferenciador es que tengo dos enlaces wan, cada uno con un virtualIP para SMTP con destino el servidor de correo interno. Todo funciona perfecto: tráfico hacia afuera de internet balanceado y redundante, los correos electrónicos entran sin problemas ya sea a una wan o a la otra, pero a la hora de configurar el SSL me he encontrado con esto: lo he probado tanto en una WAN como en otra y el resultado es el mismo: si desactivo el virtualIP de la wan funciona el portal ssl, y si lo activo no funciona. Ahora mismo lo tengo desactivado en wan1, y por ahí puede entrar el ssl; el inconveniente que tengo con esa configuración es que ya no tengo redundancia al recibir correos; éstos solo me pueden entrar por wan2; si se me cae wan2 ya no recibo correos por wan1 como sí pasaba antes.
De todas formas, me da la impresión que si sólo tuviese un wan pasaría lo mismo.

No sé.

Hola, en que port usas el ssl? el que viene por default 10443?

Si no, en estos casos, seria bueno que hagas un ticket con soporte de fortinet. Ya que podria ser un bug.

Se que habia problemas con el ssl en version 4, por eso te pregunte el firmware

te recomiendo entonces que habras un ticket con soporte.

saludos
Gabriel

Solucionado.
Hay que activar en el virtualIp port forwarding de puerto TCP/25 a puerto TCP/25. Así sí que funciona SSL.

Hola.. ehhh???????????????? vrtual ip port25 ???? imposible,.

tenes algun error o algun problema en algun lado.
a que le estas abriendo el port 25??????????????????

revisa bien eso.
saludos