Este artículo aborda un problema común relacionado con la configuración de rutas en el split tunel de SSL VPN en dispositivos FortiGate. Verificar que la ruta se haya habilitado correctamente es crucial para garantizar que el tráfico de la red se maneje según lo previsto. A lo largo de este artículo, exploraremos cómo verificar la configuración del split tunel, permitiendo así una resolución efectiva de problemas.
Índice
Descripción del problema
La ruta del split tunel de SSL VPN permite que ciertos tráficos se envíen a través del túnel, mientras que otros tráficos se envían directamente a Internet. Un error común es no tener configurada correctamente esta ruta, lo que puede resultar en la pérdida de conectividad o en problemas de rendimiento.
Alcance
Este artículo es aplicable a FortiGate en la versión 7.2 y superiores.
Diagnóstico paso a paso
Para verificar que la ruta del split tunel esté funcionando correctamente, es necesario revisar la configuración de la política SSL VPN. En el portal de SSL VPN, la dirección de destino debe estar correctamente establecida.
En este caso, la dirección de destino es 192.168.28.0/24, lo que significa que todo el tráfico destinado a esta subred será redirigido a través del túnel SSL VPN. Aquí se muestra un ejemplo de configuración de política:
config firewall policy
edit 2
set name "SSLVPN"
set uuid 9601eebe-907a-51ef-7239-e297ccce9b9b
set srcintf "ssl.root"
set dstintf "port2"
set action accept
set srcaddr "all"
set dstaddr "192.168.28.0"
set schedule "always"
set service "ALL"
set nat enable
set users "test-vpn"
next
endSolución recomendada
Para verificar la ruta en el split tunel, si el cliente es un dispositivo Windows, se puede ejecutar el comando route print en el terminal de comandos. A continuación se presenta un ejemplo de cómo debería lucir la tabla de rutas:
En esta tabla de rutas, la dirección IP 10.212.134.200 es asignada por FortiGate al FortiClient. El gateway 10.212.134.201 es la próxima dirección IP al IP asignado 10.212.134.200. Esto indica que el split tunel ha añadido la ruta al cliente.
Comandos CLI utilizados
Los siguientes comandos son utilizados para verificar y configurar la política de SSL VPN en FortiGate:
config firewall policy: Inicia la configuración de políticas de firewall.route print: Muestra las rutas actuales en un dispositivo Windows.ip route: Utilizado en Linux para listar rutas proporcionadas por FortiClient.
Buenas prácticas y recomendaciones
Es importante seguir estas buenas prácticas para asegurar que el split tunel funcione correctamente:
- Verificar regularmente la configuración de las políticas de firewall.
- Comprobar la conectividad del cliente después de cualquier cambio de configuración.
- Asegurarse de que las subredes que necesitan acceso a través del túnel estén correctamente definidas.
Notas adicionales
Si se trabaja en ambientes mezclados de Windows y Linux, asegúrate de aplicar ambos métodos de verificación de rutas para tener una visión completa del estado del túnel.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!