▶️ Habilitación de la función de túnel dividido para SSL VPN

Descripción
Este artículo muestra los pasos para habilitar la función de tunelización dividida y enrutar solo el tráfico interno a través del túnel.

Solución
En esta configuración, los usuarios remotos pueden acceder de forma segura a la red interna de la oficina central a través del firewall de la oficina central y, sin embargo, navegar por Internet sin pasar por el FortiGate de la oficina central.

Sin túneles divididos, todas las comunicaciones de los usuarios remotos de SSL VPN a la red interna de la oficina central ya Internet utilizan un túnel SSL VPN entre la PC del usuario y la unidad FortiGate de la oficina central.
Las conexiones a Internet se enrutan de vuelta desde la unidad FortiGate de la oficina central a Internet. Las respuestas regresan a la unidad FortiGate de la oficina central antes de ser enrutadas de regreso a través del túnel VPN SSL al usuario remoto.

Cree un rango de objeto de dirección de subred interna como se muestra a continuación:

A través de la GUI:
vaya a Política y objetos > Direcciones
Seleccione ‘Crear nuevo’ y agregue la dirección del servidor de la oficina central:

Vía CLI:

#config firewall address
    edit «Internal_subnet»
        set subnet 10.129.0.0 255.255.254.0
    next
end

A través de la interfaz gráfica de usuario:

Ir a VPN -> SSGo a VPN -> Portales SSL-VPN

Seleccione ‘tunnel-access’

Habilite la opción ‘Enable split tunnel’ y seleccione el objeto Dirección de subred interna en la opción Dirección de enrutamiento.

Vía CLI:

#config vpn ssl web portal
    edit «tunnel-access»
        set ip-pools «SSLVPN_TUNNEL_ADDR1»
        set split-tunneling-routing-address «Internal_subnet»
end

Nota: Después de habilitar la función de túnel dividido, no es posible seleccionar la dirección de destino como todo en la política de IPv4.

Seleccione Subred interna como destino en la política de SSLVPN a LAN. Solo se necesita una política desde la interfaz SSL.root a la interfaz LAN.

ADVERTENCIA.

A través de la CLI, cuando no se define el usuario/grupo en la política de SSL VPN, todavía es posible usar la dirección de destino 0.0.0.0/0, que impondrá una ruta predeterminada al usar el túnel.

# config firewall policy
edit 0
set srcintf «ssl.root»
set dstintf «port1»
set srcaddr «SSLVPN_TUNNEL_ADDR1»
set dstaddr «all» <– 0.0.0.0/0
set action accept
set schedule «always»
set service «ALL»
set logtraffic all
next
End

Las políticas de SSL VPN sin asignación de usuarios/grupos se utilizan para todas las conexiones de túnel de SSL VPN.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Solución de problemas básicos de FortiGate y de la red
Buenas, para los que nos os acordéis de mí soy César Sánchez y hoy os voy a ayudar con: Solución de problemas básicos de FortiGate y de la red Descripción Este artículo describe cuando el usuario reporta que la red tiene lentitud, intermitencia o desconexión para cierta aplicación o conexión general. Alcance FortiGate. Equipos de Leer
Comportamiento del grupo de direcciones IP
Descripción Este artículo describe el comportamiento del conjunto de direcciones IP. Solution IP Pools es un mecanismo que permite que las sesiones que salen de FortiGate Firewall usen NAT. Un conjunto de direcciones IP define una sola dirección IP o un rango de direcciones IP que se utilizará como dirección de origen durante la duración Leer
Uso de curl para verificar protocolos SSL/TLS y conjuntos de cifrado aceptados por fortigate
Descripción Este artículo muestra cómo usar el programa de código abierto cURL para probar la conectividad a (o a través de) FortiGate usando varios conjuntos de cifrado. Esto es útil cuando se realizan evaluaciones de vulnerabilidad y puede confirmar si FortiGate permite realizar conexiones utilizando una versión específica del protocolo SSL/TLS y el conjunto de Leer
¿Qué es y cómo activar el conmutador VLAN en FortiGate?
Descripción Este artículo se centra en el modo «Conmutador VLAN» disponible en determinadas unidades (serie 300 y superiores, sólo en las versiones de firmware más recientes). Alcance Entender cómo funciona el conmutador VLAN y cómo habilitarlo. Solución La activación de la VLAN Switch sólo puede hacerse en la CLI. Considere el uso de esta función Leer
Comparación de la configuración entre el conmutador de hardware FortiGate, el conmutador de software y el conmutador VLAN
Buenas 🙌, por aquí Mila Jiménez y me apetecía escribir sobre: 👇 Comparación de la configuración entre el conmutador de hardware FortiGate, el conmutador de software y el conmutador VLAN Descripción Este artículo describe algunos detalles que pueden ser útiles para empezar a configurar un switch en un FortiGate. Se presentan algunas diferencias en términos Leer

Habilitación de la función de split tunnel para SSL VPN