Permite que o tráfego de ssl-vpn entre no túnel ipsec no fortigate

1

configuramos nosso FortiGate 50B para rotear o tráfego de nossa rede local 192.168.10. * (que é nosso escritório) para uma rede remota 172.29.112. * usando um túnel ipsec. Tudo funciona bem, desde que meu computador tenha um ip de 192.168.10. *.

Também podemos nos conectar à rede do escritório em casa usando uma conexão ssl vpn. Uma vez conectado, recebemos um ip de 10.41.41. *.

Agora, desejo permitir o fluxo de tráfego de 10.41.41. * para 172.29.112. * como acontece na rede do escritório.

Alguém poderia me apontar na direção certa o que eu precisaria fazer?

Obrigado, Sascha

    
por Sascha 11.06.2014 / 17:18

4 respostas

1

Estou na mesma situação.

Isso é o que eu tentei mas não funcionou (todos os IPs são um exemplo e foram tirados da sua pergunta):

NAT para um IP virtual (192.168.10.200) todo o tráfego proveniente de SSLVPN (10.41.41. ) e indo para IPSEC (172.29.112. ) Assim, todo o tráfego SSLVPN está sendo traduzido para um IP interno que deve passar pelo túnel fino. Desta forma, poderíamos evitar o destino IPSEC modificado, mas não funcionou.

A única maneira é adicionar em ambos os lados IPSEC nossa rede SSLVPN (10.41.41. *), como Alex disse para que todo o tráfego seria encaminhado bem

    
por 17.06.2014 / 11:59
1

Eu tive essa mesma situação e consertei isso adicionando a política da interface SSL.vpn à interface de túnel IPsec e depois da interface de túnel IPsec de volta à interface SSL.vpn. A questão é em quais interfaces o tráfego é permitido. Ele não vai ficar preso a uma interface que não esteja definida em uma política.

    
por 19.11.2014 / 02:16
0

Há algumas informações em falta na sua pergunta.

Principalmente;

  1. Você está enviando tráfego NAT dentro do túnel IPSEC
  2. Você também gerencia o peer na outra extremidade do túnel IPSEC

Supondo que você não está digitando o tráfego no túnel IPSEC, esta é uma lista de verificação rápida.

Adicione a sub-rede 10.41.41.x ao seu tráfego interessante

Isso indicará que a sub-rede 10.41.41.x deverá transitar no túnel IPSEC. Você precisa fazer essa alteração de configuração em ambos os dispositivos em cada extremidade do túnel IPSEC. Se isso não for feito corretamente, sua VPN nem poderá concluir a Fase 1 do túnel IPSEC.

Adicionar rotas

Verifique se sua VPN SSL envia uma rota adequada para os clientes. Isso significa que os clientes devem ter uma rota para o 172.29.112.x ao se conectar ao SSL VPN.

O mesmo é verdadeiro na rede 172.29.112.x, ele precisa saber para onde rotear pacotes para 10.41.41.x.

Em alguns casos, por exemplo, se os dois pontos na VPN IPSEC também forem os roteadores padrão em suas respectivas redes, poderá não ser necessário.

Adicionar políticas

Não sou especialista em Fortinet, mas a maioria dos firewalls também exige que você permita explicitamente o tráfego dentro de um túnel VPN com políticas ou ACLs. Isso vale tanto para o túnel IPSEC quanto para a conectividade VPN SSL.

Como eu disse, essa é uma resposta bem vaga (ou seja, são ponteiros), mas como não há muitos detalhes na pergunta, é o melhor que consigo pensar.

    
por 11.06.2014 / 17:52
-1

1 - Vá para Objetos do Firewall > Endereço > Endereços > Criar novo

Crie a sub-rede 172.29.112.0/24 (digite Subnet, Interface Any e marque a opção Show in Address list) chamada SubnetRemoteIPSEC

Crie outra sub-rede 10.41.41.0/24 (digite Subnet, Interface Any e marque a opção Show in Address list) chamada SubnetClientSSL

2 - Vá para a sua Política SSL de VPN e adicione o SubnetRemoteIPSEC na Sub-rede Protegida Local (você já deve ter sua sub-rede de escritório aqui (192.168.10.0/24)).

3 - Adicione uma nova política: Interface de entrada ssl.root

Endereço de origem SubnetClientSSL

Interface de saída Nome da sua interface VPN

Endereço de Destino

Agendar sempre

Service all

Ação Aceitar

Ativar NAT

Use Dynamic IP Pool e Create a pool (você pode colocar a rede IP do seu fortigate 192.168.10.254-192.168.10.254 assumindo que 192.168.10.254 é o seu IP interno).

Você agora poderá acessar o seu VPN IPSEC através do VPN SSL.

    
por 07.12.2014 / 12:57