Hallo,
Ik ben bezig een netwerk in te richten, en probeer het volgende te bereiken. We hebben diverse vlans voor diverse functies, zoals "office", "developers", enzovoorts. Via wifi of bedraad komen werknemers in het voor hun bedoelde vlan. Verder moet er vpn toegang mogelijk zijn, en ik wil graag dat de users die remote inloggen automatisch toegang krijgen tot precies dezelfde subnetten als de lokale users. Fortinet biedt diverse opties, maar ik kom er niet helemaal uit.
Probleemstelling: voorkomen dat ik voor elk VPN dubbele regels moet gaan opstellen met het bijbehorende vlan.
Het probleem is dat bij het maken van een IPv4 policy, het "Incoming adapter" veld de sslvpn adapter kan zijn, of een (groep) vlan adapter(s), of "any". Maar: zowel een vlan adapter en de sslvpn adapter kan ik niet invoeren. Ook als ik "any" kies wordt de regel niet goed verwerkt, ik kan dan niet meer verbinden met mn sslvpn.
Ik probeerde (o.a.) het volgende:
netdefinities:
10.30.10.0/23 developers (vlan)
10.30.10.0/24 developers op locatie (dhcp range binnen het vlan)
10.30.11.0/24 developers via vpn (ip range voor de sslvpn)
Vervolgens firewalling regels definieren met "from": any (zodat zowel de vlan als sslvpn adapter erin zitten) en "source ip": developers (omvat zowel de range van op locatie als via vpn). Het blijkt echter dat de fortigate een regel eist met "from: ssl-vpn tunnel", anders kan je niet verbinden. Of, "any" omvat niet de ssl-vpn tunnel, dat zou ook kunnen. Dit is vervelend, want ik wil m'n firewalling regels voor developers maar 1 keer definieren, om zeker te zijn dat de zelfde regels van toepassing zijn op locatie en over vpn.
Heeft iemand een idee hoe ik dit in zou kunnen regelen? Ik ben er al dagen mee bezig en hoewel google een hoop how-to's geeft, heb ik niets kunnen vinden dat echt van toepassing is.
Ik geef graag meer info / toelichting!
Cheers,
Wouter
Ik ben bezig een netwerk in te richten, en probeer het volgende te bereiken. We hebben diverse vlans voor diverse functies, zoals "office", "developers", enzovoorts. Via wifi of bedraad komen werknemers in het voor hun bedoelde vlan. Verder moet er vpn toegang mogelijk zijn, en ik wil graag dat de users die remote inloggen automatisch toegang krijgen tot precies dezelfde subnetten als de lokale users. Fortinet biedt diverse opties, maar ik kom er niet helemaal uit.
Probleemstelling: voorkomen dat ik voor elk VPN dubbele regels moet gaan opstellen met het bijbehorende vlan.
Het probleem is dat bij het maken van een IPv4 policy, het "Incoming adapter" veld de sslvpn adapter kan zijn, of een (groep) vlan adapter(s), of "any". Maar: zowel een vlan adapter en de sslvpn adapter kan ik niet invoeren. Ook als ik "any" kies wordt de regel niet goed verwerkt, ik kan dan niet meer verbinden met mn sslvpn.
Ik probeerde (o.a.) het volgende:
netdefinities:
10.30.10.0/23 developers (vlan)
10.30.10.0/24 developers op locatie (dhcp range binnen het vlan)
10.30.11.0/24 developers via vpn (ip range voor de sslvpn)
Vervolgens firewalling regels definieren met "from": any (zodat zowel de vlan als sslvpn adapter erin zitten) en "source ip": developers (omvat zowel de range van op locatie als via vpn). Het blijkt echter dat de fortigate een regel eist met "from: ssl-vpn tunnel", anders kan je niet verbinden. Of, "any" omvat niet de ssl-vpn tunnel, dat zou ook kunnen. Dit is vervelend, want ik wil m'n firewalling regels voor developers maar 1 keer definieren, om zeker te zijn dat de zelfde regels van toepassing zijn op locatie en over vpn.
Heeft iemand een idee hoe ik dit in zou kunnen regelen? Ik ben er al dagen mee bezig en hoewel google een hoop how-to's geeft, heb ik niets kunnen vinden dat echt van toepassing is.
Ik geef graag meer info / toelichting!
Cheers,
Wouter
/u/45013/GoT%2520-%2520QR.png?f=community)