Se ao conectar na VPN com o FortiClient VPN (de casa, por exemplo) o seu computador fica com a internet lenta, ou bloqueada, pode ser porque o tráfego de internet do seu computador está tentando passar pela VPN corporativa. Vamos ver como testar se é isso e como alterar essa configuração SSL-VPN no seu firewall Forgitate.

Verificando e entendendo sobre roteamento

No seu computador pessoal Windows, antes de conectar na VPN, abra o CMD e digite o comando:

route print 0.0.0.0

Esse comando listará apenas as rotas existentes para esse endereço 0.0.0.0. Verifique quantas rotas existem (possívelmente somente uma) e preste atenção em todos os dados dessa rota (endereço de rede, a máscara, gateway e custo), essas informações serão importantes para entendimento.

Entenda o seguinte: A máscara 0.0.0.0 significa que qualquer variação do endereço IP fará parte dessa “rede” (no caso, desta regra) o gateway indica qual o “caminho” para acessar os endereços dessa rede (neste caso, qual é a “saída” para a todas as rede, provavalmente seu roteador de internet) e o custo significa quanto “custa” usar esse caminho para o computador. O custo ficará mais claro em seguida.

Agora conecte em sua VPN, depois de conectar execute o mesmo comando para verificar as rotas, se após conectar na VPN existirem duas rotas para 0.0.0.0 é esse o caso que explicaremos aqui.

Repare que a nova conexão 0.0.0.0 (que aponta para outro gateway) possuí um custo menor. Isso significa para seu computador que existem duas possíveis “saídas” para a internet, mas uma custa menos para o computador e, automaticamente, passa a ser essa a saída para a internet que o computador irá utiliza (e esse novo gateway é a sua empresa)

Apesar de fazer sentido em muitos casos “forçar” que a internet passe pela sua empresa (talvez um equipamento corporativo ou, por segurança, não se deva ter acesso à uma internet sem segurança e ter acesso a sua rede do trabalho ao mesmo tempo) vamos considerar que você está lendo até aqui porque isso é um problema (bloqueio, lentidão) que você, como administrador da rede, precisa resolver.

Entendendo que você está “ganhando” uma rota 0.0.0.0 na sua conexão SSL-VPN, vamos no firewall FortiGate e vamos mudar isso:

  • Acesse seu firewall, vá no menu VPN, clique no sub-menu SSL-VPN Settings;
  • Em Authentication/Portal Mapping, veja qual(is) o(s) Usuários/Grupos possuem acesso e qual(is) o(s) portais de configuração SSL eles usam, veja qual é o portal que você deseja alterar;
  • Ainda no menu VPN, clique agora no sub-menu SSL-VPN Portals;
  • Clique no portal que deseja alterar, dentro dele marque a opção Enable Split Tunneling, em Routing Address adicione as redes que devem ser roteadas pela conexão VPN (você pode criar uma rede com uma máscara mais ampla, para obter todo o escopo de suas redes, se preferir) e clique em OK.
  • Caso se depare com o erro Destination address of split-tunneling policy is invalid, desabilite (se você não usar essa opção) a opção Enable Web Mode, clique em OK e tente novamente.
    • Se tiver dúvidas se usar ou não a opção Web Mode, pode criar um novo Portal, com as mesmas configurações, desabilitar o Web Mode nele, alterar para esse novo Portal (em SSL-VPN Settings) e testar.

Fontes/Referências

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Destination-address-of-split-tunneling-policy-is/ta-p/191673

Mais Informações

Esperamos ter te ajudado e estaremos sempre a disposição para mais informações.

Se você tem interesse em algum assunto específico, tem alguma dúvida, precisa de ajuda, ou quer sugerir um post, entre em contato conosco pelo e-mail equipe@nvlan.com.br.

NVLAN - Consultoria
Categorias: Redes