VPN 224B (4 MR3) con 100D (5.2.2)

[gbenavides]

Hola a todos, tengo un problema que no logro resolver, les comento:

Tengo 1 100D con firmware 5.2.2 y un 224B con firmare 4 MR3, cuando el VPN (router-mode) el enlace se establece, es decir, apare como UP y cuando hago ping a los equipos de los extremos éstos no responden, pero en las estadísticas del tráfico me aparece datos (entrada y salida), cada vez que hago ping los datos se incrementan pero no llego a los equipos. Cuando hago ping desde el A al B y viceversa se actualizando los datos en ambos equipos.

He visto que en el monitor de políticas no aparece información para las políticas que he creado, cuando hago un trazo de ruta, no llega ni al primer salto.

SI he agregado las rutas en ambos equipos.

Hojala laguien de ustedes les haya pasado lo mismo.

[gabyrossi]

hola, podrias mostras las politicas y rutas?
y el monitor de rutas?

saludos.

[gbenavides]

hola, podrias mostras las politicas y rutas?
y el monitor de rutas?

saludos.

Gracias por responder, esta es la información:

Punto 1 a Punto2:
From: lan
To: vpndestino
Source: redlocal
Destination: redremota
Schedule: allways
Service: all
Action: accept
Nat: Disable

From: vpndestino
To: lan
Source: redremota
Destination: redlocal
Schedule: allways
Service: all
Action: accept
Nat: Disable

Punto 2 a 1:
Punto 1 a Punto2:
From: lan
To: vpndestino
Source: redlocal
Destination: redremota
Schedule: allways
Service: all
Action: accept
Nat: Disable

From: vpndestino
To: lan
Source: redremota
Destination: redlocal
Schedule: allways
Service: all
Action: accept
Nat: Disable

Monitor de Rutas (Punto 1):
Static 0.0.0.0/0 "ip de puerta de enlace" wan1
Connected "10.10.76.0/23 0.0.0.0 lan
Static 10.10.104.0/24 0.0.0.0 vpndestino
Connected 190.117.255.128/25 0.0.0.0 wan2 (Esta es por otro enlace wan que tenemos para navegacion)
Connected 200.48.65.208/29 0.0.0.0 wan1
Connected 200.48.65.208/29 0.0.0.0 wan1

Monitor de Rutas (Punto 2)
Static 0.0.0.0/0 10 0 "ip de puerta de enlace" wan1
Static 10.10.76.0/23 10 0 0.0.0.0 vpndestino
Connected 10.10.104.0/24 0 0 0.0.0.0 Interna01
Connected 190.239.24.128/29 0 0 0.0.0.0 wan1

Espero me puedas ayudar.

Gracias

[gabyrossi]

Hola,
la distancia de las rutas de la vpon que sean con distancia menor a 10
en el equipo donde usas 2 wan estas usando policy routes????

saludos.

[gbenavides]

Hola,
la distancia de las rutas de la vpon que sean con distancia menor a 10
en el equipo donde usas 2 wan estas usando policy routes????

saludos.

Hola

Puse a 5 la distancia y no funciona.

Si hay policy route, se utiliza la navegación, ya que la puerta wan2 es utilizada para navegación y wan1 para VPN y otros servicios expuestos a internet.

Gracias

[gabyrossi]

ok, entocnes tendras que hacer policy rpute arriba de las demas para que tu red local tenga como destino la red que esta detras de tu otro fortigate vpn y que salga por la interfaz de vpn

saludos.

[amonroy]

Hola gbenavides!

Yo me dedico a la implementación de equipos FortiGate y he tenido el mismo incidente con varios clientes. Me parece que a lo mejor es un Bug de la version 5.2.2 ya que es el único patron en común entre todos mis clientes.

Estoy por aperturar un ticket con fortinet para verificar este problema. Si logramos solventarlo con gusto voy a postearlo.

Saludos.

[gabyrossi]

hola, revisaron lo de la policy route que comente?

saludos.

[gbenavides]

Gaby

Si hice la prueba y no funcionó.

Te comento que cambié el 224B por un 60D con firmware 5.2, es decir, poniendo el mismo en ambos equipos (100D y 60D) y el problema sigue siendo el mismo, es decir, no se conecta por nada del mundo, aún agregando las rutas, incluso quité la políticas de rutas y el problema es el mismo.

Puse el caso en Fortigate y tampoco me ayudaron.

Mi cliente está implementando otra solución (Juniper) ya que con ésos equipos todo funcionó a la primera.

[gbenavides]

Hola gbenavides!

Yo me dedico a la implementación de equipos FortiGate y he tenido el mismo incidente con varios clientes. Me parece que a lo mejor es un Bug de la version 5.2.2 ya que es el único patron en común entre todos mis clientes.

Estoy por aperturar un ticket con fortinet para verificar este problema. Si logramos solventarlo con gusto voy a postearlo.

Saludos.

Hola amonroy

Te comento que puse un ticket y el personal deFortinet tampoco pudo con el problema. de hecho el 100D tiene el 5.2.2 y lo probé con otro 60D con 5.2.2 y el problema era el mismo.

Esta falta de soporte por el mismo fabricante deja mucho por desear, de hecho se perdió un cliente importante, ya que se dejó de vender 9 equipos

Gracias por tu comentario.

Saludos,

[gabyrossi]

HOla, el TAC depende de la info que uno le dia, muchas veces hasta piden accesos a los equipos para que ellos mismo revisen el tema.

SI necesitas alguna ayuda extra mia, avisame por privado y vemos de que me pueda conectar por teamviwer a alguna pc y revisar el fortigate o hacer alguna prueba.

saludos.

[gbenavides]

Hola...

ya está solucionado, realmente es un Bug de Fortigate en la versión 5.2.2 que se arrastra a la versión 5.2.3, al realizar este cambio todo funciono a las mil maravillas:

La configuración del equipo tenía:

config firewall service custom
edit "ALL"
set category "General"
set protocol IP
set protocol-number 6

Lo cambié por:

config firewall service custom
edit "ALL"
set category "General"
set protocol IP
set protocol-number 0

Se debe cambiar el valor de set protocol-number a 0, y listo.

[gabyrossi]

HOla, si eso pasa cuando migras de 5.0 a 5.2.x
Pero pasa con cualquier politica que tengas como servicio ALL.
saludos.