NAT en VPN- IPSEC

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
wilote50
Mensajes: 3
Registrado: 09 Abr 2008, 12:16

NAT en VPN- IPSEC

Mensaje por wilote50 »

Hola buenas,

estoy algo desesperado con la configuración del fortigate.

He montado una VPN contra una empresa, y funciona correctamente. El problema es que esa empresa me ha pedido que la IP origen de los paquetes no sean del rango 192.168.1.X ya que esa red ya la tienen en su rango.

Por lo que he decidido HACER NAT en el FW, y es aquí donde tengo los problemas, he puesto la configuración como dice el manual y nada. Ni si quiera se levanta el túnel.

La configuración que he realizado es esta:

config firewall address
edit "all"
next
edit "Red Interna"
set subnet 192.168.1.0 255.255.255.0
next
edit "Red Local empresa_externa"
set subnet 10.1.10.0 255.255.255.0



config vpn ipsec phase1
edit "Tunel"
set interface "wan1"
set nattraversal enable
set dhgrp 1 2
set proposal 3des-sha1
set remote-gw 19x.x.x.x
set psksecret ENC ********
next



config vpn ipsec phase2
edit "Tunel_F2"
set dhgrp 2
set keepalive enable
set pfs enable
set phase1name "Tunel"
set proposal 3des-sha1
set replay enable
set dst-subnet 10.1.10.0 255.255.255.0
set keylifeseconds 3600
set src-subnet 10.211.20.0 255.255.255.0



config firewall policy
edit 21
set srcintf "internal"
set dstintf "wan1"
set srcaddr "Red Interna"
set dstaddr "Red Local empresa_externa"
set action ipsec
set schedule "always"
set service "ANY"
set logtraffic enable
set natip 10.211.20.0 255.255.255.0
set inbound enable
set outbound enable
set natoutbound enable
set vpntunnel "Tunel"
next


Lo que quiero es que una ip con origen 192.168.1.x lo cambie por 10.211.20.x, el tema es que yo no pongo exactamente que la ip 192.168.1.30 la cambie por la 10.211.20.30, pero según lo que he leído en el manual, lo hace automático.

[Debes identificarte para poder ver enlaces.]

¿Me falta algo por configurar?

¿Debería actualizar la versión de Firmware? Actualmente tenemos Fortigate-50B 3.00-b0565(MR5 Patch 2)

Un saludo!!
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: NAT en VPN- IPSEC

Mensaje por gabyrossi »

hola, como estas? el link que pasaste es para fotigate con firmware 2.8.

Igualmente mirando la configuracion deberias hacerlo asi como lo hiciste salvo esto:
en la politica de encriptacion de la vpn
los nat probalos asi:
set inbound enable
set outbound enable
set natinbound disable
set natoutbound enable


Entonces la idea es en el "natip" de la politica pones lo mismo que en la phase2 como "src-start-ip" y como "dst-subnet" lo que te hayan pasado como destino.

del otro lado que equipo hay para armar vpn? otro fortigate?

saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder