Fortigate 110C

Para discusiones sobre temas técnicos (solución de problemas, configuraciones) cuyo tema no pertenezca especificamente a otros foros.

Fortigate 110C

Notapor ceub » 12 May 2010, 20:09

Estimados

Soy nuevo por estos lados y tengo una duda.
Quiero saber si la(s) puerta(s) WAN pueden fijar su velocidad o no? Ya que el enlace que tengo, la puerta del Media Converter está forzada a 100Mb.

Quedaré agradecido por vuestra respuesta.

Saludos.
ceub
 
Mensajes: 25
Registrado: 11 May 2010, 19:27

Re: Fortigate 110C

Notapor gabyrossi » 12 May 2010, 20:19

hola, como estas? todas las interfaces estan en automatico.Asique deberia tomarla a 100.
Pero por cli podes cambiarle la velocidad.

seria:
con system interface
edit "wan1" o "port1" o el que sea.
set speed 100full
end

saludos
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 8517
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Notapor ceub » 12 May 2010, 21:09

Muchas gracias
Lo hice y ha resultado muy bien.

Saludos!!!
ceub
 
Mensajes: 25
Registrado: 11 May 2010, 19:27

Re: Fortigate 110C

Notapor ceub » 13 May 2010, 18:54

Estimado

Tengo un problema con 2 VPNs IPsec
Y al revisar por consola me arroja esto:

2010-05-13 13:14:23 0: exchange=Informational id=a6157e50e8765c2c/003599ed465564cb:8122aaf8 len=84
2010-05-13 13:14:23 0: found VPN_2 201.238.207.165 3 -> 64.76.136.178:500
2010-05-13 13:14:23 0:VPN_2:10: notify msg received: R-U-THERE-ACK
2010-05-13 13:14:25 0:VPN_1: link is idle 3 201.238.207.165->190.96.79.90:500 dpd=2 seqno=98
2010-05-13 13:14:25 0:VPN_1: send DPD probe, seqno 152
2010-05-13 13:14:25 0:VPN_1:11: sent IKE msg (R-U-THERE): 201.238.207.165:500->190.96.79.90:500, len=92
2010-05-13 13:14:25
0: comes 190.96.79.90:500->201.238.207.165:500,ifindex=3....
2010-05-13 13:14:25 0: exchange=Informational id=4fe6457df5709fa9/ffaebccce7248381:8fbfcb28 len=84
2010-05-13 13:14:25 0: found VPN_1 201.238.207.165 3 -> 190.96.79.90:500
2010-05-13 13:14:25 0:VPN_1:11: notify msg received: R-U-THERE-ACK
2010-05-13 13:14:28 0:VPN_2: link is idle 3 201.238.207.165->64.76.136.178:500 dpd=2 seqno=98
2010-05-13 13:14:28 0:VPN_2: send DPD probe, seqno 152
2010-05-13 13:14:28 0:VPN_2:10: sent IKE msg (R-U-THERE): 201.238.207.165:500->64.76.136.178:500, len=92
2010-05-13 13:14:28

Al monitorear la VPN por WEB, nunca está arriba

Me puedes dar una mano por favor???
Gracias y Saludos
ceub
 
Mensajes: 25
Registrado: 11 May 2010, 19:27

Re: Fortigate 110C

Notapor gabyrossi » 13 May 2010, 19:33

Hola, la vpn esta armada contra qye equipo? 2 fortigates? o que? como esta armada la vpn? podes mostrar la config ?

saludos
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 8517
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Notapor ceub » 13 May 2010, 19:42

Hola

Las VPNs van contra equipos CISCO, distintos Data Center
Aquí dejo la configuración de las VPNs

edit "VPN_2"
set interface "wan1"
set dhgrp 1
set proposal 3des-sha1
set keylife 86400
set remote-gw 64.76.136.178
set psksecret ENC ABUnTgbjSrE2yF8a1EdiKVPGc0RpHu4DyejBpJn1HfhVN+OYrhOvF2RLUMHSVxiJp1qM3oT1hNTZKS8dClouyhYg8lqj242lbzFwDO2b/fUQeGkI
next
edit "VPN_1"
set interface "wan1"
set nattraversal disable
set dhgrp 2
set proposal 3des-sha1
set remote-gw 190.96.79.90
set psksecret ENC CmzhWdaoXgSKw/NFPGXrHD+9Qw3AGTI3D/bYtiEcch2g4+Sc6p4jITFXAz5NaTXmIqQaCoQXIm2jPVYpGnwo48UZ8RnXRNSwbMFcXQh2CCFnB4J4
next
end
config vpn ipsec phase2
edit "VPN2_2"
set dhgrp 1
set keepalive enable
set phase1name "VPN_2"
set proposal 3des-sha1
set keylifeseconds 86400
next
edit "VPN1_2"
set dhgrp 2
set keepalive enable
set phase1name "VPN_1"
set proposal 3des-sha1
set keylifeseconds 28800
next

Gracias y Saludos!!
ceub
 
Mensajes: 25
Registrado: 11 May 2010, 19:27

Re: Fortigate 110C

Notapor gabyrossi » 13 May 2010, 19:48

hola porque hay 2 vpn? tenes hecha la politica? esta armada en modo policy.
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 8517
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Notapor ceub » 13 May 2010, 20:19

Son 2 VPNs, que van hacia aplicaciones distintas fuera de la oficina.

Aquí está la configuración de firewall Policy y firewall address

config firewall policy
edit 1
set srcintf "switch"
set dstintf "wan1"
set srcaddr "RED_LAN"
set dstaddr "TODO_INTERNET"
set action accept
set schedule "SIEMPRE"
set service "ANY"
set nat enable
next
edit 3
set srcintf "switch"
set dstintf "wan1"
set srcaddr "RED_LAN"
set dstaddr "Global"
set action ipsec
set schedule "SIEMPRE"
set service "ANY"
set inbound enable
set outbound enable
set vpntunnel "VPN_2"
next
edit 4
set srcintf "switch"
set dstintf "wan1"
set srcaddr "RED_LAN"
set dstaddr "GTD"
set action ipsec
set schedule "SIEMPRE"
set service "ANY"
set inbound enable
set outbound enable
set vpntunnel "VPN_1"
next
edit 2
set srcintf "switch"
set dstintf "wan1"
set srcaddr "RED_LAN"
set dstaddr "TODO_INTERNET"
set action accept
set schedule "SIEMPRE"
set service "ANY"
set profile-status enable
set profile "Filtro_PRUEBA"
next


config firewall address
edit "RED_LAN"
set associated-interface "switch"
set subnet 192.168.1.0 255.255.255.0
next
edit "TODO_INTERNET"
set associated-interface "wan1"
next
edit "Global"
set subnet 10.1.2.0 255.255.255.0
next
edit "GTD"
set subnet 10.0.2.3 255.255.255.255
next

Quedo atento a tus comentarios.

Gracias
ceub
 
Mensajes: 25
Registrado: 11 May 2010, 19:27

Re: Fortigate 110C

Notapor gabyrossi » 13 May 2010, 20:43

hola, no entiendo.

son vpn ipsec, desde un fortigate hacia donde?
las politicas encryptadaa(vpn modo plicy)van arriba de todas las demas.

asi es dificil saber que es lo que querar hacer funcionar .

documentacion:
http://docs.fortinet.com
http://kb.fortinet.com
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 8517
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Notapor ceub » 13 May 2010, 21:10

Te explico mejor

Tengo un firewall antiguo marca McAffe funcionando con las VPNs que he mencionado anteriormente.
Y ahora ha llegado un nuevo firewall, Fortigate 110C, y debo hacer que funcione tal cuál como el antiguo firewall.
Funciona la conexión a Internet, accesos remotos, pero las VPNs IPsec, no me funcionan.

Te quiero dejar un esquema de más o menos como es el esquema de las VPNs
http://www.subirimagenes.com/otros-esquemavpn-4500428.html

Son 2 VPNs distintas, que van hacia un CISCO cada una y allí hay un servidor con una aplicación.
Espero que con el equema que envié me puedas entender. He estado leyendo bastante, justamente de los links que me adjuntaste, pero así y todo aún no puedo hechar andar las VPNs.
Si te darás cuenta que urge mucho este tema. Por lo mismo insisto tanto.

Muchas gracias
ceub
 
Mensajes: 25
Registrado: 11 May 2010, 19:27

Re: Fortigate 110C

Notapor gabyrossi » 13 May 2010, 22:13

hola, la imagen no se ve.

porque no mostras los datos de la vpn del cisco, ya que hay que tratar de traducir los mismo datos al fortigate.

revisar porque es necesario 2 vpn, si van al mismo sitio, alcanza con una sola.

saludos
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 8517
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Notapor ceub » 14 May 2010, 02:27

Las VPNs van a sitios distintos.

La configuración de la VPN 1 en el Cisco es:

IP Address: 190.96.79.90
Port Address: Any
Encryption Domain: 10.0.2.x/32
Clave: XXXXXXXXXXX

PHASE 1
Authentication Method: Pre-share
Encryption Scheme: IKE
Diffie-Hellman Group: Grupo2
Encryption Algorithm: 3DES
Hashing Algorithm: Sha
Lifetime (for renegotiation): 28800

PHASE 2
Encapsulation (ESP or AH): ESP
Encryption Algorithm: 3DES
Lifetime (for renegotiation): 28800

La Segunada VPN en otro Cisco es:

IP Address: 64.76.136.178
Port Address: Any
Encryption Domain: 10.1.2.x/24
Clave: XXXXXXXXXXX

PHASE 1
Authentication Method: Pre-share
Encryption Scheme: IKE
Diffie-Hellman Group: Grupo1
Encryption Algorithm: 3DES
Hashing Algorithm: Sha
Lifetime (for renegotiation): 86400

PHASE 2
Encapsulation (ESP or AH): ESP
Encryption Algorithm: 3DES
Lifetime (for renegotiation): 86400

Espero haber podido el haber aclarado un poco el tema.

Dejo una vez más el link del esquema VPN que tengo
http://www.subirimagenes.com/otros-esquemavpn-4500428.html
ceub
 
Mensajes: 25
Registrado: 11 May 2010, 19:27

Re: Fortigate 110C

Notapor gabyrossi » 14 May 2010, 13:06

Hola, primero tenes que ponerte de acuerdo con los datos de una vpn del fortigate, con la otra en el cisco., Tienen que coincidir, encryptacion, autenticacion, psk, y tiempo de las llaves.

saludos
FCNSP v.5
FCNSA -
Avatar de Usuario
gabyrossi
 
Mensajes: 8517
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Notapor ceub » 14 May 2010, 17:13

Hola
Los datos de la VPN configuradas en los Cisco que te mostré anteriormente las tengo configurada en el fortifgate. Ahora dejé las Policy al principio como me lo dijiste.
Me falta probar una vez más.
Te comentaré que sucedió.
Gracias y Saludos.
ceub
 
Mensajes: 25
Registrado: 11 May 2010, 19:27

Re: Fortigate 110C

Notapor ceub » 20 May 2010, 05:46

He solucionado el problema de las VPNs...

Me queda una duda.
Cuando reinicio el equipo las VPNs no suben solas. Hay alguna forma de que suban automáticamente???

Saludos!!!
ceub
 
Mensajes: 25
Registrado: 11 May 2010, 19:27

Siguiente

Volver a Miscelanea (FortiOS)