Este artículo aborda un problema común que enfrentan los usuarios de FortiClient al conectarse a través de IPSec con túneles divididos habilitados. En ocasiones, es necesario acceder a destinos específicos de Internet a través de una conexión remota, lo cual puede complicarse. Aquí, exploraremos cómo configurar correctamente el acceso a estos destinos mientras se mantiene la seguridad y el monitoreo de registros.
Índice
Descripción del problema
Cuando los usuarios remotos de FortiClient utilizan IPSec con túneles divididos, es posible que enfrenten dificultades para acceder a destinos de Internet específicos. La función de túneles divididos permite que el tráfico de Internet y el tráfico local se manejen de manera independiente, lo que puede dificultar el control de la seguridad y la supervisión si no se configura adecuadamente.
Alcance
Este artículo es relevante para los usuarios y administradores que gestionan FortiOS y FortiClient, y que necesitan configurar conexiones VPN seguras mientras permiten el acceso a destinos específicos de Internet.
Diagnóstico paso a paso
Para habilitar el acceso a destinos específicos mientras se utiliza el split tunel, se deben seguir estos pasos:
- Agregar las direcciones IPv4 específicas en el grupo de direcciones dentro de la configuración de VPN de acceso remoto.
- Crear una política de firewall adicional desde la interfaz del túnel hacia la interfaz pública con NAT habilitado. La dirección de destino de esta política debe incluir el grupo de direcciones correspondiente.
Solución recomendada
A continuación, se presenta un ejemplo de configuración que permite a los usuarios de FortiClient acceder a un destino específico mientras utilizan un split tunel.
Supongamos que el nombre del túnel VPN de marcación configurado es ‘Test’, el split tunel está habilitado, el nombre del grupo de direcciones es Test_split, y port1 es la interfaz pública y port3 es la interfaz interna. El objetivo es permitir que solo el tráfico del destino de Internet www.example.com (resolviendo DNS: 93.184.215.14) pase a través del túnel Test. Todos los otros destinos de Internet deben ir a través del ISP local del usuario remoto de FortiClient.
- Asegurarse de incluir la dirección 93.184.215.14 en el grupo de direcciones Test_split, además de las subredes internas (subred de port3). Para esto, seleccione VPN → IPSec Tunnels → Test → Edit.


- Configurar una política de firewall adicional llamada Dialup_Internet además de la política Dialup_Internal, con dirección de destino del grupo Test_split. Para esto, seleccione Policy & Objects → Firewall Policy.

Comandos CLI utilizados
A continuación, se detallan los comandos CLI relevantes que deben configurarse para aplicar la solución propuesta:
config vpn ipsec phase1-interface
edit "Test"
set type dynamic
set interface "port1"
set mode aggressive
set peertype any
set net-device disable
set mode-cfg enable
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set comments "VPN: Test"
set xauthtype auto
set authusrgrp "Guest-group"
set assign-ip-from name
set dns-mode auto
set ipv4-split-include "Test_split"
set ipv4-name "Test_SRC_Addresses"
set save-password enable
set psksecret ENC PxGTLs2CxA3FGMtB
next
end
config firewall addrgrp
edit "Test_split"
set member "Example.com_Addr" "Internal_Subnets"
next
end
config firewall address
edit "Test_SRC_Addresses"
set type iprange
set start-ip 10.10.10.1
set end-ip 10.10.10.10
next
edit "Example.com_Addr"
set subnet 93.184.215.14 255.255.255.255
next
edit "Internal_Subnets"
set subnet 192.168.1.0 255.255.255.0
next
end
config firewall policy
edit 3
set name "Dialup_Internal"
set srcintf "Test"
set dstintf "port3"
set action accept
set srcaddr "Test_SRC_Addresses"
set dstaddr "Test_split"
set schedule "always"
set service "ALL"
set logtraffic all
next
edit 2
set name "Dialup-Internet"
set srcintf "Test"
set dstintf "port1"
set action accept
set srcaddr "Test_SRC_Addresses"
set dstaddr "Test_split"
set schedule "always"
set service "ALL"
set logtraffic all
set nat enable
next
endBuenas prácticas y recomendaciones
Es recomendable llevar un control de los accesos y registros para asegurar la protección de la red. Asegúrese de que se permiten solo las direcciones necesarias en el grupo Test_split y de que se implementan políticas de seguridad efectivas. Utilizar direcciones FQDN dentro del grupo Test_split no está permitido; sin embargo, se pueden utilizar en la política de firewall correspondiente.
Notas adicionales
Asegúrese de realizar pruebas exhaustivas de la configuración para validar que los usuarios pueden acceder correctamente solo a los destinos permitidos y que se aplica la seguridad adecuada en todo momento.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!