site to site vpn with access for ssl vpn

[wa11a]

site to site vpn with access for ssl vpn

הייי
יש לי תצורה כזאת

cisco asa -- vpn site to site -- fortigate

ל-fortigate מתחברים יוזרים ב ssl vpn


הייתי מעוניין שמשתמשים שמחוברים לfortigate יוכלו לגשת לציוד שנמצא מאחורי ה-vpn של ה asa

איך אני מבצע זאת ?

 

[xcalibur]

do u use split tunneling?

 

[wa11a]

מה הכוונה?

מדוע אני צריך להשתמש בsplit tunnel ברגע שיש לי site to site ?

 

[נק nick]

הכוונה הייתה (אני חושב ...)

האם אתה ושה split tunnel ליוזרים שמתחברים ב SSL.

בגדול -באינקריפשין דומיין שלך אתה מפרסם את הרשתות שאתה
רוצה שיגיעו אליהן. בדר"כ הנטיה היא לפרסם את הרשתות מאחורי
ה FG בלבד.
תפרסם גם את הרשתות מאחוריה ASA ואז תראה ב route print
מהקליינט את הרשתות מאחורי ה ASA.
אח"כ ברמת הרולים ב ASA צריך להוסיף את טווח ה IP שאתה מקבל
מה SSL בתור טווח שמאופשר ב no nat rule שלך ובגישה באופן
כללי.

 

[wa11a]

הגדרה

היי
גם אני חשבתי שככה ההגדרה צריכה להיות
רק שבפועל אני צריך להגיד למי שמתחבר בקליינט בssl מול הfortigate
שהוא גם יכיר את הרשת שמאחורי הasa.
משמע אני צריך להגדיר בfortigate רול לדוגמא
מinternal - רשתות פנימיות מאחורי הפורטיגייט (גם הssl vpn client ?)
ל-wan1 לכתובות החיצוניות בסייט שמאחורי הasa
פעולת accept / any
ipsec tunnelלכיוון

 

[xcalibur]

אתה לא

ישנה בעיית ROUTING אצל המשתמש ברגע שעושים SPLIT TUNNEL ורוצים להגיע לסייט השני. אלא אם כן תוסיף בתחנת הקצה חוק שיעביר לך את הסייט השני דרך הפורטי, הוא תמיד יצא דרך חיבור האינטרנט שלך.

ללא SPLIT TUNNEL,
בגדול מה שאתה צריך לעשות זה ליצור בנק כתובות LAN ריקות בפורטי ואז ליצור חוק שיעביר לך את התנועה בין הפורטי לאתר השני מאחוריהן (DYNAMIC NAT).
ליצור חוק סטנדרטי SSL.ROOT ---> SITE2-LAN ---> ACCEPT לא עובד במקרה הזה.

 

[wa11a]

מה הכוונה בנק כתובות ריקות

האם אתה מדבר על VPN SITE TO SITE בהגדרה של Enable IPsec Interface Mode ?
אני לא יודע אם ב-ASA אני יכול לבצע את זה
מה שכן מצאתי הגדרה שנקראית: Reverse Route Injection בצד של ה-ASA