Hola
Necesito un poco de ayuda para poder configurar la VPN ipsec en el fortigate 500A. He buscado info de éste firerwall y no he encontrado nada.
Tengo el firewall conectado a un router cisco ( no está nada capado ) y en otro puerto la red local 172.26.51.0/24.
Las interfaces del router son: 1- la ip pública 195.x.x.x. y la otra interfaz para el firewall 172.26.0.4/8
En el firewall los puertos son:
Puerto 1---internet; ip 172.26.0.4
Puerto 2--LAN_Local; ip 172.26.51.1
En las reglas del firewall lo tengo como "any y encriptado" pero no consigo configurar la vpn ipsec y mucho menos darle dhcp....
Gracias
VPN ipsec en FORTIGATE 500A
Re: VPN ipsec en FORTIGATE 500A
Hola, mm con esos detalles sera muy dificil.
La vpn contra que la vas armar? no me quedo claro.
La wan de internet del 500 que ip tiene? es publica?
saludos
Gabriel
La vpn contra que la vas armar? no me quedo claro.
La wan de internet del 500 que ip tiene? es publica?
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN ipsec en FORTIGATE 500A
Hola,
Por lo que veo, en primer lugar en el router cisco que te conecta a internet, tienes la IP publica (195.x.x.x) y luego para el firewall le asignas una ip interna (172.26.0.x), con lo que creo que el cisco ya te está haciendo un NAT.
El Forti, tienes en la WAN asignada la 172.26.0.4, que seguramente tiene como default gateway la LAN del cisco (172.26.0.x) y en la puerta Lan del Forti, otra red (172.26.51.1), con lo que el Forti ya también te hace NAT.
No sé si en el cisco tienes configurado un 1-NAT-1 entre la IP pública y la WAN del Fortigate, para que todas las peticiones de la ip publica pasen directamente a la WAN del Fortigate. A veces ipsec con estas configuraciones da problemas.
Creo que lo más "limpio" es conseguir que el cisco te de directamente la IP pública a la WAN del Fortigate (monopuesto, vamos). Si tienes IP fija pues es más fácil (seguramente tengas IP fija por el tema de la vpn, o usas un dyndns o similar..).. De esta forma, la WAN del Forti, tiene la IP pública directamente, y te gestionará los paquetes IPSEC mejor.
También tienes que revisar la política desde internal1 - wan1 con los grupos creados de la lan local y lan remota con acción ENCRYPT...
Cuéntanos a ver que tal!
Por lo que veo, en primer lugar en el router cisco que te conecta a internet, tienes la IP publica (195.x.x.x) y luego para el firewall le asignas una ip interna (172.26.0.x), con lo que creo que el cisco ya te está haciendo un NAT.
El Forti, tienes en la WAN asignada la 172.26.0.4, que seguramente tiene como default gateway la LAN del cisco (172.26.0.x) y en la puerta Lan del Forti, otra red (172.26.51.1), con lo que el Forti ya también te hace NAT.
No sé si en el cisco tienes configurado un 1-NAT-1 entre la IP pública y la WAN del Fortigate, para que todas las peticiones de la ip publica pasen directamente a la WAN del Fortigate. A veces ipsec con estas configuraciones da problemas.
Creo que lo más "limpio" es conseguir que el cisco te de directamente la IP pública a la WAN del Fortigate (monopuesto, vamos). Si tienes IP fija pues es más fácil (seguramente tengas IP fija por el tema de la vpn, o usas un dyndns o similar..).. De esta forma, la WAN del Forti, tiene la IP pública directamente, y te gestionará los paquetes IPSEC mejor.
También tienes que revisar la política desde internal1 - wan1 con los grupos creados de la lan local y lan remota con acción ENCRYPT...
Cuéntanos a ver que tal!
Re: VPN ipsec en FORTIGATE 500A
Ante todo gracias por contestar.
Lo he hecho cómo dices, pero no me conecta. Creo que tengo el problema en el dhcp ipsec, que no se cómo configurarlo. ¿me ayudáis?
El rango que quiero configurar es el : 172.26.51.20-25/24
Muchas gracias por todo!
Lo he hecho cómo dices, pero no me conecta. Creo que tengo el problema en el dhcp ipsec, que no se cómo configurarlo. ¿me ayudáis?
El rango que quiero configurar es el : 172.26.51.20-25/24
Muchas gracias por todo!
Re: VPN ipsec en FORTIGATE 500A
Hola, recomendacion, en el dhcp de la vpn lo haces en la wan donde se conecta a internet y le pones ipsec y el rango que sea distinto al de la interna. con gw la ip interna de tu fortigate.
saludos
Gabriel
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN ipsec en FORTIGATE 500A
Perdonar por tardar tanto en contestar pero he conseguido una linea adsl nueva con ip fija y la manejo yo.
Os cuento para ver si me podéis ayudar...
router adsl---ip lan 172.16.0.1 y ip wan--80.25.x.x, he hecho NAT en los puertos 4500/500 UDP a 172.16.0.2 (ipsec)
firewall---port5 adsl---172.16.0.2 enrutado a 0.0.0.0/0.0.0.0 a 172.16.0.1
reglas habilito todo desde la ADSL-LAN (172.26.51.0) en ambos sentidos y encriptado.
la vpn la tengo conf asi:
[img]http://C:\Documents%20and%20Settings\santiago\Mis%20documentos\Mis%20imágenes\paso1.bmp[/img]
[img]http://C:\Documents%20and%20Settings\santiago\Mis%20documentos\Mis%20imágenes\paso2.bmp[/img]
Lo que quiero es dar acceso por vpn a la red 172.26.51.0
La conf del forticlient lo tengo asi:
GW---80.25.x.x
rango de red--172.26.51.0/24 y 172.16.0.0/24
IKE por AES128-sha1
IPsec por AES128-sha1
Pre key la quie tengo configurada...
Pues no conecto, por favor podéis decirme donde está el error???????
Gracias
Os cuento para ver si me podéis ayudar...
router adsl---ip lan 172.16.0.1 y ip wan--80.25.x.x, he hecho NAT en los puertos 4500/500 UDP a 172.16.0.2 (ipsec)
firewall---port5 adsl---172.16.0.2 enrutado a 0.0.0.0/0.0.0.0 a 172.16.0.1
reglas habilito todo desde la ADSL-LAN (172.26.51.0) en ambos sentidos y encriptado.
la vpn la tengo conf asi:
[img]http://C:\Documents%20and%20Settings\santiago\Mis%20documentos\Mis%20imágenes\paso1.bmp[/img]
[img]http://C:\Documents%20and%20Settings\santiago\Mis%20documentos\Mis%20imágenes\paso2.bmp[/img]
Lo que quiero es dar acceso por vpn a la red 172.26.51.0
La conf del forticlient lo tengo asi:
GW---80.25.x.x
rango de red--172.26.51.0/24 y 172.16.0.0/24
IKE por AES128-sha1
IPsec por AES128-sha1
Pre key la quie tengo configurada...
Pues no conecto, por favor podéis decirme donde está el error???????
Gracias