Cómo solucionar el acceso a destinos de Internet específicos mediante IPSec por marcación con tunneling dividido en Fortinet

Este artículo aborda un problema común que enfrentan los usuarios de FortiClient al conectarse a través de IPSec con túneles divididos habilitados. En ocasiones, es necesario acceder a destinos específicos de Internet a través de una conexión remota, lo cual puede complicarse. Aquí, exploraremos cómo configurar correctamente el acceso a estos destinos mientras se mantiene la seguridad y el monitoreo de registros.

Descripción del problema

Cuando los usuarios remotos de FortiClient utilizan IPSec con túneles divididos, es posible que enfrenten dificultades para acceder a destinos de Internet específicos. La función de túneles divididos permite que el tráfico de Internet y el tráfico local se manejen de manera independiente, lo que puede dificultar el control de la seguridad y la supervisión si no se configura adecuadamente.

Alcance

Este artículo es relevante para los usuarios y administradores que gestionan FortiOS y FortiClient, y que necesitan configurar conexiones VPN seguras mientras permiten el acceso a destinos específicos de Internet.

Diagnóstico paso a paso

Para habilitar el acceso a destinos específicos mientras se utiliza el split tunel, se deben seguir estos pasos:

  1. Agregar las direcciones IPv4 específicas en el grupo de direcciones dentro de la configuración de VPN de acceso remoto.
  2. Crear una política de firewall adicional desde la interfaz del túnel hacia la interfaz pública con NAT habilitado. La dirección de destino de esta política debe incluir el grupo de direcciones correspondiente.

Solución recomendada

A continuación, se presenta un ejemplo de configuración que permite a los usuarios de FortiClient acceder a un destino específico mientras utilizan un split tunel.

Artículos relacionados  Cómo solucionar problemas con el soporte técnico de los ingenieros TAC de Fortinet

Supongamos que el nombre del túnel VPN de marcación configurado es ‘Test’, el split tunel está habilitado, el nombre del grupo de direcciones es Test_split, y port1 es la interfaz pública y port3 es la interfaz interna. El objetivo es permitir que solo el tráfico del destino de Internet www.example.com (resolviendo DNS: 93.184.215.14) pase a través del túnel Test. Todos los otros destinos de Internet deben ir a través del ISP local del usuario remoto de FortiClient.

  1. Asegurarse de incluir la dirección 93.184.215.14 en el grupo de direcciones Test_split, además de las subredes internas (subred de port3). Para esto, seleccione VPNIPSec TunnelsTestEdit.

vpn-settings.PNG

test-spli-addr.PNG

  1. Configurar una política de firewall adicional llamada Dialup_Internet además de la política Dialup_Internal, con dirección de destino del grupo Test_split. Para esto, seleccione Policy & ObjectsFirewall Policy.

policies.PNG

Comandos CLI utilizados

A continuación, se detallan los comandos CLI relevantes que deben configurarse para aplicar la solución propuesta:

config vpn ipsec phase1-interface
    edit "Test"
        set type dynamic
        set interface "port1"
        set mode aggressive
        set peertype any
        set net-device disable
        set mode-cfg enable
        set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
        set comments "VPN: Test"
        set xauthtype auto
        set authusrgrp "Guest-group"
        set assign-ip-from name
        set dns-mode auto
        set ipv4-split-include "Test_split"
        set ipv4-name "Test_SRC_Addresses"
        set save-password enable
        set psksecret ENC PxGTLs2CxA3FGMtB
    next
end

config firewall addrgrp
    edit "Test_split"
        set member "Example.com_Addr" "Internal_Subnets"
    next
end

config firewall address
    edit "Test_SRC_Addresses"
        set type iprange
        set start-ip 10.10.10.1
        set end-ip 10.10.10.10
    next
    edit "Example.com_Addr"
        set subnet 93.184.215.14 255.255.255.255
    next
    edit "Internal_Subnets"
        set subnet 192.168.1.0 255.255.255.0
    next
end

config firewall policy
    edit 3
        set name "Dialup_Internal"
        set srcintf "Test"
        set dstintf "port3"
        set action accept
        set srcaddr "Test_SRC_Addresses"
        set dstaddr "Test_split"
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
    edit 2
        set name "Dialup-Internet"
        set srcintf "Test"
        set dstintf "port1"
        set action accept
        set srcaddr "Test_SRC_Addresses"
        set dstaddr "Test_split"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set nat enable
    next
end

Buenas prácticas y recomendaciones

Es recomendable llevar un control de los accesos y registros para asegurar la protección de la red. Asegúrese de que se permiten solo las direcciones necesarias en el grupo Test_split y de que se implementan políticas de seguridad efectivas. Utilizar direcciones FQDN dentro del grupo Test_split no está permitido; sin embargo, se pueden utilizar en la política de firewall correspondiente.

Artículos relacionados  Cómo resolver problemas de acceso externo en FortiGate detrás de un router/modem NAT ISP (VPNs, VIPs y notificaciones push de FTM)

Notas adicionales

Asegúrese de realizar pruebas exhaustivas de la configuración para validar que los usuarios pueden acceder correctamente solo a los destinos permitidos y que se aplica la seguridad adecuada en todo momento.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *