Fortigate SSL-VPN als default gateway sloopt route van VPN 2

Ik heb sinds kort op kantoor een Fortigate 61E (FW: v6.4.3 build1778 (GA) ) in gebruik genomen die al een poosje klaar lag om te implementeren.

Nu heb ik daar een SSL-VPN op ingesteld en al het verkeer van die clients gaat over de internet connectie van kantoor zodat we bepaalde resources kunnen bereiken (bijv. klant locaties middels pptp)

Alles werkt eigenlijk naar behoren, behalve die klant vpn.
Als mijn SSL VPN verbonden is, en ik maak de PPTP naar de klant. Dan wordt er een 2e route toegevoegd door de Forticlient die dus het verkeer voor mijn klant de SSL-VPN in stuurt ipv gewoon de PPTP.



De rode pijl is dus de route van mijn klantlocatie naar de SSL VPN. En de blauwe pijl is de route die door de PPTP verbinding wordt gemaakt (en dus de goeie is).
De hele tabel met wat items verwijderd:



Ik zie overal vragen van mensen die de routeringen in de SSL-VPN niet op orde krijgen, maar dat werkt wel ik wil van die auto route toevoeging af.

Is dat mogelijk??

jvanhambelgium schreef op vrijdag 13 november 2020 @ 16:25:
btw, stop met PPTP te gebruiken, en al zeker naar klanten : O-B-S-O-L-E-T-E

Eventueel iets met Split Tunneling ?


https://kb.fortinet.com/k...ink.do?externalID=FD46074

Als ik het goed begrijp heb je PC thuis staan met Forticlient op, daar zet je een SSL-VPN met kantoor op, maar die klant PPTP moet "vertrekken" vanaf dezelfde thuis-PC right ? Niet via 1 of ander "jump host" systeem op kantoor om centraal klanten te ondersteunen ?
Dan moet je met Split-Tunnels toch verder kunnen? Enkel de IP-subnets van je kantoor gaat in de tunnel. En normaal als de PPTP goed geconfigged is zou je die specifieke klanten IP's / prefixen dan toch door de PPTP-sessie moeten kunnen bereiken ?

Uiteraard 2 "default gateways" gaat er altijd 1 met een beter metric zijn, maar een specifieke route-prefix zou toch goed moeten komen en het juiste pad kiezen ?

Thanks voor je reactie



We zitten met een aantal man vanuit huis te werken. De Forticlient start de SSL VPN zodat we contact hebben met kantoor. Default gateway van mijn pc wordt dan de SSL VPN. Ik kan alle diensten bereiken op kantoor en daarbuiten,

Split-Tunneling is geen optie omdat de PPTP locaties ook alleen maar bereikbaar zijn vanaf ons kantoor IP.
Een paar locaties had ik wel in de accepted list kunnen zetten, maar het zijn er gewoonweg te veel. Waarbij diverse klanten ook nog eens 3 of meer lijnen hebben.

Als ik nu bijv. een route add 192.168.250.0 mask 255.255.255.0 192.168.250.1 doe, dan staat er direct een kopie die het verkeer naar de ssl vpn trapt.

Ik kan nergens zien of dat "by design" is of dat er ergens iets fout staat.

webfreakz.nl schreef op vrijdag 13 november 2020 @ 17:03:
Ik weet niet hoeveel IP adressen je over de PPTP tunnel wilt benaderen, maar je zou ook een /32 (of andere die specifieker is dan 24, dus 25-32) route kunnen toevoegen:

route add 192.168.250.123 mask 255.255.255.255 192.168.250.1

Dat zou heel mooi zijn idd. ware het niet dat die SSL VPN gelijk weer zichzelf OOK als route toevoegt:


Pak ik onze oude OpenVPN doos met soortgelijke config. Geen probleem.

Er zit iets in die SSL-VPN die dus zichzelf als route toevoegt, bij élke route. Beetje overenthousiast als je het mij vraagt

webfreakz.nl schreef op vrijdag 13 november 2020 @ 17:25:
[...]


Ah, dat zal in het kader van security zijn. Iets van "route table monitoring" om traffic hijacking te voorkomen.

Enige wat je kan doen is die tunnel op een andere bak termineren en wat NAT toepassen. Dit is altijd het "feestje" met dezelfde private IP adressen aan beide zijden van een VPN ....

Edit:

Ander alternatief is om een extra bak toe te voegen en daar een proxy op draaien ipv NAT.

Dat is inderdaad een vieze optie.
Ik hoop maandag contact te hebben met de leverancier. Kijken of ik daar een helder antwoord van kan krijgen.
Maar zal inderdaad iets in die trant zijn dan idd.

Thanks iig voor het meedenken

kosz schreef op vrijdag 13 november 2020 @ 20:52:

Wij gebruiken een jump host in ons datacenter om te connecten naar klanten overigens.

Maar dat is dan met SSH?

Ons support systeem is gekoppeld aan de hardware inventory. Daarin staat een VPN configuratie die voor de medewerker dynamisch de VPN connectie aanmaakt en connect zodra er een Windows server beheerd gaat worden.
Connectie tijden van Tunnel én RDP sessie worden gelogd en bijgehouden zodat er te allen tijden gekeken kan worden wie, waarmee, hoelang en waarom verbonden is geweest.

Helaas is de Windows VPN daar het meest flexibel in omdat er vaak verschillende soorten infra bij klanten staat. Een Windows Server staat er al gauw.

Nog steeds zoekende naar een dergelijke constructie en wellicht is een jump host daar wel een optie voor.

ChaserBoZ_ schreef op maandag 16 november 2020 @ 11:51:
[...]


De hamvraag is, heb je die route echt nodig, richting je SSLVPN ? Die Fortigate bedenkt die routes niet vanzelf om mee te geven namelijk

If niet nodig, then niet meegeven op de SSLVPN verbindingen.

Indien wel nodig; is het mogelijk site-to-site naar die klant op te zetten bijvoorbeeld, met NAT erop in de Fortigate, dan is die het middelpunt. Middels policies kun je alles zo veilig mogelijk maken.

De routes naar de klant zijn niet nodig de SSL VPN in, dat doet dat kreng automagisch.

De default route de SSL VPN in, momenteel (nog) wel. Dat is een nieuwe discussie die ik al een poosje aan het opstarten ben
Er zijn diverse externe resources enkel voor onze office IP's bereikbaar zijn. Waaronder dus die PPTP servers.

Ik ben het as we speak aan het aan halen in de meeting

[ Voor 6% gewijzigd door RoRoo op 16-11-2020 13:38 ]