Forum

SSL vpn to ipsec vp...
 
Bildirimler
Hepsini Temizle

[Çözüldü] SSL vpn to ipsec vpn

tarkankurd
(@tarkankurd)
Üye

Merhaba

Merkezde buluna fortigate cihaza ssl vpn ile clientler bağlanıyor.

merkez ve diğer şubede bulunan fortigate ler arasında vpn bulunmakta.

merkeze bağlanan client ssl vpn den diğer şubede bulunan ağa gitmesini istiyorum.

ama beceremedim.

ssl vpn den merkezdeki ağa ulaşmada herhangi bir sıkıntı yok.

merkezdeki ipsec vpn ile diğer şubedeki ağa ulaşmada herhangi bir problem yok.

 

tek problemimiz ssl vpn den ipsec vpn de olan diğer ağa ulaşmak.

 

debug aşağıdaki gibidir.

 

 

 

id=20085 trace_id=2 func=print_pkt_detail line=5292 msg="vd-root received a packet(proto=1, 10.40.254.1:1->172.16.100.10:2048) from ssl.root. type=8, code=0, id=1, seq=2643."
id=20085 trace_id=2 func=init_ip_session_common line=5451 msg="allocate a new session-00b5fcbf"
id=20085 trace_id=2 func=iprope_dnat_check line=4798 msg="in-[ssl.root], out-[]"
id=20085 trace_id=2 func=iprope_dnat_tree_check line=838 msg="len=5"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-3"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-5"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-8"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-15"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-19"
id=20085 trace_id=2 func=iprope_dnat_check line=4811 msg="result: skb_flags-02000000, vid-0, ret-no-match, act-accept, flag-00000000"
id=20085 trace_id=2 func=vf_ip_route_input_common line=2576 msg="find a route: flag=04000000 gw-172.16.100.10 via Ist_VPN"
id=20085 trace_id=2 func=iprope_fwd_check line=696 msg="in-[ssl.root], out-[Ist_VPN], skb_flags-02000000, vid-0, app_id: 0, url_cat_id: 0"
id=20085 trace_id=2 func=__iprope_tree_check line=545 msg="gnum-100004, use addr/intf hash, len=2"
id=20085 trace_id=2 func=__iprope_check_one_policy line=1899 msg="checked gnum-100004 policy-36, ret-no-match, act-accept"
id=20085 trace_id=2 func=__iprope_check_one_policy line=1899 msg="checked gnum-100004 policy-0, ret-matched, act-accept"
id=20085 trace_id=2 func=__iprope_user_identity_check line=1726 msg="ret-matched"
id=20085 trace_id=2 func=__iprope_check_one_policy line=2096 msg="policy-0 is matched, act-drop"
id=20085 trace_id=2 func=iprope_fwd_auth_check line=751 msg="after iprope_captive_check(): is_captive-0, ret-matched, act-drop, idx-0"
id=20085 trace_id=2 func=fw_forward_handler line=591 msg="Denied by forward policy check (policy 0)"

 

 

Alıntı
Konu başlatıcı Gönderildi : 20/02/2018 13:24
Gökhan TATAR
(@gokhantatar)
Üye

[quote user="tarkankurd"]

Merhaba

Merkezde buluna fortigate cihaza ssl vpn ile clientler bağlanıyor.

merkez ve diğer şubede bulunan fortigate ler arasında vpn bulunmakta.

merkeze bağlanan client ssl vpn den diğer şubede bulunan ağa gitmesini istiyorum.

ama beceremedim.

ssl vpn den merkezdeki ağa ulaşmada herhangi bir sıkıntı yok.

merkezdeki ipsec vpn ile diğer şubedeki ağa ulaşmada herhangi bir problem yok.

 

tek problemimiz ssl vpn den ipsec vpn de olan diğer ağa ulaşmak.

 

debug aşağıdaki gibidir.

 

 

 

id=20085 trace_id=2 func=print_pkt_detail line=5292 msg="vd-root received a packet(proto=1, 10.40.254.1:1->172.16.100.10:2048) from ssl.root. type=8, code=0, id=1, seq=2643."
id=20085 trace_id=2 func=init_ip_session_common line=5451 msg="allocate a new session-00b5fcbf"
id=20085 trace_id=2 func=iprope_dnat_check line=4798 msg="in-[ssl.root], out-[]"
id=20085 trace_id=2 func=iprope_dnat_tree_check line=838 msg="len=5"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-3"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-5"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-8"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-15"
id=20085 trace_id=2 func=__iprope_check_one_dnat_policy line=4672 msg="checking gnum-100000 policy-19"
id=20085 trace_id=2 func=iprope_dnat_check line=4811 msg="result: skb_flags-02000000, vid-0, ret-no-match, act-accept, flag-00000000"
id=20085 trace_id=2 func=vf_ip_route_input_common line=2576 msg="find a route: flag=04000000 gw-172.16.100.10 via Ist_VPN"
id=20085 trace_id=2 func=iprope_fwd_check line=696 msg="in-[ssl.root], out-[Ist_VPN], skb_flags-02000000, vid-0, app_id: 0, url_cat_id: 0"
id=20085 trace_id=2 func=__iprope_tree_check line=545 msg="gnum-100004, use addr/intf hash, len=2"
id=20085 trace_id=2 func=__iprope_check_one_policy line=1899 msg="checked gnum-100004 policy-36, ret-no-match, act-accept"
id=20085 trace_id=2 func=__iprope_check_one_policy line=1899 msg="checked gnum-100004 policy-0, ret-matched, act-accept"
id=20085 trace_id=2 func=__iprope_user_identity_check line=1726 msg="ret-matched"
id=20085 trace_id=2 func=__iprope_check_one_policy line=2096 msg="policy-0 is matched, act-drop"
id=20085 trace_id=2 func=iprope_fwd_auth_check line=751 msg="after iprope_captive_check(): is_captive-0, ret-matched, act-drop, idx-0"
id=20085 trace_id=2 func=fw_forward_handler line=591 msg="Denied by forward policy check (policy 0)"

 

 

[/quote]

 

Merhaba,

 

Merkez ve Şubeler arasında kurulan VPN tunneli içerisinde, merkeze VPN ile bağlanan kullanıcıların, Hub and Spoke tüneli içerisinden taşınması içinde yönlendirici kural yazmanız gerekli.

 

CevapAlıntı
Gönderildi : 21/02/2018 18:11
Yilmaz BARCIN
(@yilmazbarcin)
Saygın Üye

Merhaba,

yapmanız gerekenler ;

1- Merkez - Sube1 arasindaki ipsec tunel tanımlarına vpn --> ipsec içerisinden edit ederek faz2 'e add ile yeni bir faz2 ekleyerek source networks'e ssl vpn in subnet 'ini ( default 10.212.134.0/24 gibi birşeydir. ) , destination 'a da sube1 network subnet ini yazmanız gerekiyor. 

2- 1. adımdaki işlemin tersini Şube1 de yapacaksınız. Şube1 de ayrıca SSL VPN subnet 'i için static route yazmanız gerekiyor, 10.212.34.0/24 ü merkez_ipsec tunel interface 'i seçmeniz gerekiyor static route eklerken.(route eklerken gateway girmeyeceksiniz. )

3- Her iki firewall da policy yazmanız gerekiyor. Merkez tarafta source interface ssl.root interface 'i destination interface sube1_ipsec interface 'i seçeeksiniz. Karşı şube1 fw de ise source sube lan, destination merkez_ipsec interface. Her iki tarafta kural yazarken NAT disable olacak.

 

şeklinde yaptığınızda ssl vpn e bağlanan bir kullanıcınız network seviyesinde erişim sağlayabilecektir.

 

kolay gelsin,

yB

CevapAlıntı
Gönderildi : 21/02/2018 18:55
tarkankurd
(@tarkankurd)
Üye

merhaba

http://cookbook.fortinet.com/ssl-vpn-to-ipsec-vpn-56/   makalesini kullarak yapmıştım. ama şubede ki firmware eski olduğundan yapamamışız.

şube firmware update yapıp vpn leri tekrar oluşturduk.

merkezde ssl to ipsec policylerini oluşturduk ve çalıştı.

şu anda bir sıkıntımız yok.

 

CevapAlıntı
Konu başlatıcı Gönderildi : 26/02/2018 12:07
ramazan ders
(@ramazanders)
Üye

Merhaba,

Benzer bir sorun bende de oluştu fakat bizde ekstra olan birden fazla vpn bağlantısı var ve bazı vpn noktalarımıza müdahale şansımız yok. Dökümanda 2. VPN noktası için tanımlarda SSL networkü için tanımların yapılması gerektiği var ama bu tanımları değişemediğimiz için sorun oluşuyordu.

Biz sorunu şu şekilde çözdük. SSL VPN in bağlandığı FW de SSL VPN Settings kısmında dağıtılan ip segmentini, bağlantı noktasının ip segmenti olarak değiştirdik. bu sayede tüm vpn noktalarına sorunsuz bağlantı sağlandı. 

Maalesef bu konuda internet ortamında fazla bir bilgi bulunmuyor.

CevapAlıntı
Gönderildi : 01/05/2021 17:27
Recep Enginar beğendi
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

@ramazanders Bilgi için teşekkürler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/05/2021 17:44
Recep Enginar
(@recepenginar)
Üye

@ramazanders Çözüm için teşekkürler.

CevapAlıntı
Gönderildi : 26/11/2021 08:44
serkanvargel
(@serkanvargel)
Üye

Merhaba;

@yilmazbarcin hocamın reçeteyi vermiş doğru çözüm. Bizde bu şekilde yapıyoruz sıkıntısız çalışıyor.

 

selamlar

CevapAlıntı
Gönderildi : 19/12/2021 21:44
Paylaş: