▶️ Habilitación de la función de túnel dividido para SSL VPN

Descripción
Este artículo muestra los pasos para habilitar la función de tunelización dividida y enrutar solo el tráfico interno a través del túnel.

Solución
En esta configuración, los usuarios remotos pueden acceder de forma segura a la red interna de la oficina central a través del firewall de la oficina central y, sin embargo, navegar por Internet sin pasar por el FortiGate de la oficina central.

Sin túneles divididos, todas las comunicaciones de los usuarios remotos de SSL VPN a la red interna de la oficina central ya Internet utilizan un túnel SSL VPN entre la PC del usuario y la unidad FortiGate de la oficina central.
Las conexiones a Internet se enrutan de vuelta desde la unidad FortiGate de la oficina central a Internet. Las respuestas regresan a la unidad FortiGate de la oficina central antes de ser enrutadas de regreso a través del túnel VPN SSL al usuario remoto.

Cree un rango de objeto de dirección de subred interna como se muestra a continuación:

A través de la GUI:
vaya a Política y objetos > Direcciones
Seleccione ‘Crear nuevo’ y agregue la dirección del servidor de la oficina central:

Vía CLI:

#config firewall address
    edit «Internal_subnet»
        set subnet 10.129.0.0 255.255.254.0
    next
end

A través de la interfaz gráfica de usuario:

Ir a VPN -> SSGo a VPN -> Portales SSL-VPN

Seleccione ‘tunnel-access’

Habilite la opción ‘Enable split tunnel’ y seleccione el objeto Dirección de subred interna en la opción Dirección de enrutamiento.

Vía CLI:

#config vpn ssl web portal
    edit «tunnel-access»
        set ip-pools «SSLVPN_TUNNEL_ADDR1»
        set split-tunneling-routing-address «Internal_subnet»
end

Nota: Después de habilitar la función de túnel dividido, no es posible seleccionar la dirección de destino como todo en la política de IPv4.

Seleccione Subred interna como destino en la política de SSLVPN a LAN. Solo se necesita una política desde la interfaz SSL.root a la interfaz LAN.

ADVERTENCIA.

A través de la CLI, cuando no se define el usuario/grupo en la política de SSL VPN, todavía es posible usar la dirección de destino 0.0.0.0/0, que impondrá una ruta predeterminada al usar el túnel.

# config firewall policy
edit 0
set srcintf «ssl.root»
set dstintf «port1»
set srcaddr «SSLVPN_TUNNEL_ADDR1»
set dstaddr «all» <– 0.0.0.0/0
set action accept
set schedule «always»
set service «ALL»
set logtraffic all
next
End

Las políticas de SSL VPN sin asignación de usuarios/grupos se utilizan para todas las conexiones de túnel de SSL VPN.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Cómo bloquear por país o geolocalización
Descripción Este artículo muestra la configuración para proteger un servidor de ataques de países con los que el usuario no tiene negocios. Alcance Solución Primero, cree un objeto de dirección: vaya a Política y objeto -> direcciones Luego seleccione ‘crear’ y ‘nueva dirección’ Nombre: Elija un nombre Tipo: Seleccione ‘Geografía’ País: Seleccione el país para Leer
SSL-VPN con certificado de máquina y usuario integrado en LDAP
Hola amig@s 👏, soy Mila Jiménez y hoy nos toca tratar con: ⏬ SSL-VPN con certificado de máquina y usuario integrado en LDAP Esta guía proporciona la configuración de SSL-VPN para que coincida con el certificado del usuario y del ordenador. Consulte el siguiente libro de cocina para la configuración detallada de ‘SSLVPN con autenticación Leer
Reemplazar como cadena de ruta en el anuncio de BGP
Buenas 👏, para los que nos os acordéis de mí soy César Sánchez y vengo a ayudaros con: 👇 Reemplazar como cadena de ruta en el anuncio de BGP En esta topología dada, AS65512 tiene dos sitios geográficamente separados y el prefijo 9.7.3.8/32 está siendo anunciado a AS65514(R3 FGT) desde AS65513(R2). R2 ha recibido este Leer
Cómo obtener registros de la consola desde la consola de AWS
Descripción Este artículo describe cómo recuperar la última salida de la consola después de un estado de transición de instancia (inicio, detención, reinicio y terminación). Esto es útil cuando Fortigate-VM experimentó un reinicio inesperado y necesita obtener la salida de la consola para investigar qué provocó el reinicio. Solución 1. Abra la consola de Amazon Leer
Visión general de las funciones de Host Protection Engine (HPE)
Bienvenidos 👋, soy Mila Jiménez y hoy os voy a ayudar con: ⏬ Visión general de las funciones de Host Protection Engine (HPE) Descripción A partir de FortiOS 5.6, la nueva característica HPE (Host Protection Engine) está disponible para proteger las CPUs del FortiGate bajo un ataque DDOS, y permitir que FortiOS procese los paquetes Leer

Habilitación de la función de split tunnel para SSL VPN