Comunidad FORTIGATE.es

gabyrossi,

he añadido las policy route, en las dos VPN, tanto la interface mode como la normal, pero la conexión se cae igualmente:

equipo A

internal1 -> VPN_ZZZ_2 -> 192.168.10.0/255.255.255.0 -> 192.168.5.0/255.255.255.0 -> 1-65535 (protocol:6,gateway:0.0.0.0)
internal1 -> wan1 -> 192.168.10.0 ...

Hola,

las VPN's siempre estan en UP.

si que uso policiy y static route, te detallo a continuación:

La VPN se realiza desde la wan1 del equipo A a la wan2 del equipo B en modo interface. Me pasa lo mismo con otro equipo C que la VPN NO esta en modo interface, y la configuración es muy parecida ...

los dos equipos ya tienen el mismo "my proposal" y "incoming proposal" y sigue sin funcionar

ike 0:VPN_ZZZ_2:TUNNEL_ZZZ_2: IPsec SA connect 3 BB.BB.BBB.BBB->AAA.AA.AA.AA:500
ike 0:VPN_ZZZ_2:TUNNEL_ZZZ_2: using existing connection
ike 0:VPN_ZZZ_2:TUNNEL_ZZZ_2: config found
ike 0:VPN_ZZZ_2:TUNNEL_ZZZ ...

Y este es el log que genera cuando levanta la VPN, pero no la conexión entre los sites:

ike 0:VPN_ZZZ_2:TUNNEL_ZZZ_2: IPsec SA connect 3 BB.BB.BBB.BBB->AAA.AA.AA.AA:500
ike 0:VPN_ZZZ_2:TUNNEL_ZZZ_2: using existing connection
ike 0:VPN_ZZZ_2:TUNNEL_ZZZ_2: config found
ike 0:VPN_ZZZ_2:TUNNEL_ZZZ_2 ...

Hola,

cuando pierdo conexión entre los site, las VPN en el IPSEC MONITOR aparecen como UP,

estos son los logs que me genera, todo el rato la misma secuencia:


2013-02-25 10:55:44 ike 0:VPN_XXX_2: link is idle 4 AAA.AA.AA.AA->BB.BB.BBB.BBB:500 dpd=1 seqno=121bb
2013-02-25 10:55:44 ike 0:VPN_XXX_2 ...

He habilitado el auto-negotiate en ambas phase2 y tampoco funciona.

tengo 4 VPN-IPSEC montadas en un Fortigate 80c, de las cuales 2, son hacia Fortigate 80c, y las otras 2 hacia otros equipos que funcionan bien.

he probado en crear una VPN en interface mode, pero tampoco funciona.

actualmente ...

Hola,

en todos los equipos he augmentado el tiempo de la keylife a 28800. Despues de cambiarlo ya no se han vuelto a caer las VPN de los fortigate con MR2.

Ahora el problema lo tengo entre los dos únicos equipos que estan actualizados a MR3, que la VPN no se mantiene. He probado en subir la ...

He actualizado el firmware de MR2 a MR3 en 2 de los 4 dispositivos Fortigate 80c que tengo. Desde entonces han dejado de funcionar las vpn-ipsec que habia entre ellos

la topologia es tipo estrella, y los equipos actualizados son el del centro y uno de los extremos.

la configuración de las fase 1 y ...

Despues de unas cuantas semanas, puedo confirmar que el error estaba en que tenian la misma PSK en la phase1. Desde que las cambié no ha vuelto a fallar.

muchas gracias gabyrossi.

en los dos equipos la misma configuracion, con la misma contraseña.

Phase 1:

NAME: SUR
Remote Gateway: Static IP Address
ip Adress: ---.---.x.x
local interface: wan1
mode: Main(id protection)
Authentication Method: preshared key
pre-shared key: *******
Accept any peer ID

3DES - SHA1
AES128 ...

tengo 4 fortinets conectados por IPSEC entre si en diferentes sites, y tengo el problema en una IPSEC entre dos de ellos. Todas las demas estan bien, y todas con la misma configuracion de phase1 y phase2. Los modelos son Fortinet 80c.

Resulta que la VPN-IPSEC una vez configurada y levantada aguanta ...