Bonjour à tous !
 
Je viens vers vous car mon cerveau n'arrive pas à appréhender la logique du routage
 
Je vous explique:
 
J'ai actuellement un firewall fortinet 60f dans ma boite, qui gère un lan en 10.2.59.0/24 et dont j'ai mis des accès VPN clients via le forti qui fourni les clients en 10.212.134.0/32.
 
Avec ceci, j'ai dans mon LAN, deux routeurs cisco qui gèrent deux lignes SDSL/ADSL qui servent uniquement pour notre applicatif métier. Les routeurs sont en 10.2.59.105 et 106, et vont pointer sur le LAN de l'appli métier en 10.36.0.0.
 
du coup pour que ceci fonctionne sur les postes clients une route est ajouté sur chaque poste en manuel, jusqu'à là tout est normal et fonctionne.
 
Problème, quand les personnes sont en VPN, impossible de faire fonctionner l'applicatif métier. j'ai essayé de faire une route directement depuis le fortinet en spécifiant la plage 10.212.134.0 plutôt que le LAN 10.2.59.0 mais ça ne fonctionne pas non plus.
 
Pouvez-vous m’éclairé à ce sujet ? merci d'avance.

fais un schéma en indiquant les IP et les routes statiques que tu as configurées

Salut,
 
Tes routeurs WAN, ont-ils à minima une route 10.0.0.0/8 qui pointe vers ton Forti ?
Il semblerait que ton Forti ait bien une 0.0.0.0/0 vers tes routeurs (Normal..) mais que ces derniers ne connaissent visiblement pas ton nouveau subnet (Client VPN). Du coup, les requêtes doivent bien passer jusqu'à 10.36.0.0/xx mais le traffic inverse ne passe pas d'après ce que tu viens d'écrire.
 
En effet, comme demandé par Ivy gu, un ptit schéma et descriptions des manips ça serait plus clair.

Rebonjour à vous,
 
merci pour vos réponses,désolé pour le temps de réponse j'étais parti sur autre chose.
 
voici un plan plus défini :  
 

 
et la route actuelle :
 

 
La première est simplement la route entre le forti et le routeur nominal.
 
J'ai tenté la route du dessous mais ça n'a rien donné.
 
Merci d'avance pour vos réponses.

faut que tes cisco aient aussi la route 10.212.134.0/24 (ou à réduire mais vu que tu un range batard c'est compliqué) qui pointe vers le forti

ça marche je vais voir avec le prestataire du logiciel, c'est lui qui gère les routeurs dédié à l'appli.
 
J'ai prévu de rajouter deux autres sites via un tunnel VPN boitier / boitier, j'imagine que c'est la même chose, je dois leur demander de rajouter une route pour chaque réseau distant ?

déjà reactive ta route 10.36 qui pointe sur le cisco. ca t'évitera de claquer des routes dans l'OS des postes...
 
ensuite pourquoi ne pas simplement Nater les IP des clients VPN avec une IP en 10.2.59.xx depuis le forti comme ca ta rien à toucher sur tes cisco ou autre

Rebonjour,
 
j'ai vu avec les presta pour rajouter les routes sur le cisco. mais ça fonctionne toujours pas. je dois rajouter des choses de mon côté j'imagine ?
 
Hugo, dans la partie virtual IP ?  
 
j'ai tenté plusieurs config mais ça ne marche pas. pour moi c'est comme ça :
 

 
Désolé je suis pas encore a l'aise avec les forti et la logique.
 
merci d'avance.
 

je sais pas ce que tu veux faire là mais ça a pas l'air de correspondre à gd chose

faut que je regarde sur un forti, de tête je peux pas te dire mais ca à l'air bien ca.
 
toutes les IP de 10.212.134.200-210 sont mappées en 10.2.59.170-180.
 
donc point de vue Cisco, quand tes paquets IP en provenance des clients VPN se pointent il n'y voit que du feu, comme si c'étais une machine de ton LAN.
 
Par contre il faut que ton Forti sache que c'est aux Cisco qu'il doit envoyer les paquets à destination du réseau 10.36.0.0/16 !
Tu as bien réactivé la route sur le forti ?
 

Hello,
 
L’idée du NAT n’est pas mauvaise mais avec ce que tu viens de faire, tu utilises de l’espace sur ton LAN.
Il aurait mieux fallut faire un PAT ( donc un NAT « many-to-one »).
Sinon pour le routage, vu ton schéma, un 10.0.0.0/8 ou 0.0.0.0/0 vers l’IP LAN du Fortinet est censé faire l’affaire.

Merci pour vos réponses.
 
Au final pas de virtual IP, pas forcément nécessaire. Mon logiciel métier est accessible via navigateur et l'ip.
 
Je me suis pas mal cassé le crâne à savoir pourquoi ça ne fonctionnait pas, et finalement, dans ce menu, j'ai désactivé le split tunneling plutôt qu'activé sur la base de ma policy, et comme par magie mon soft fonctionne parfaitement !
 

 
Seul problème, et pas des moindres, le poste client perd la connexion internet en étant connecté au vpn..
 
Quelles solutions hybrides pourrais-je trouver pour faire marcher les deux en même temps ?
 
merci beaucoup

est ce que sur ton vpn la regle (ipv4 policy)
section ssl_vpn tunneling  to wan
la regle :
10.212.134.0/32 --> 10.36.0.0/32?  accept existe ?
 
 
 

Pas sur la WAN non.
 
Mais effectivement j'ai refais une policy ssl lan et ça fonctionne merci beaucoup !