Problema con VPN site to site entre Fortigate y pfsense

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
bytebit
Mensajes: 1
Registrado: 05 Dic 2020, 10:21

Problema con VPN site to site entre Fortigate y pfsense

Mensaje por bytebit »

Hola a todos!! Necesito vuestra ayuda!. Os explico:

Necesito crear una VPN IPsec site to site a través de un fortigate 60D con firmware 6.0.6 y un pfsense 2.4.5. Consigo establecer la VPN, pero la comunicación no es bidireccional, es decir, desde la LAN que está por detrás del pfsense (192.168.214.0 /24) consigo ver la LANl que está por detrás del fortigate (192.168.211.0/24), pero no al revés.

Llevo varios días intentando averiguar el motivo, pero no consigo identificar el problema

Os adelanto que llevo poco tiempo trasteando con fortigate y pfsense y no soy un virtuoso de la redes…

También deciros que tanto el fortigate como pfsense se conectan a internet a través de los routers suministrados por el ISP. Estos routers no tienen modo bridge, por lo que he activado la configuración DMZ de cada router asignando la ip de la interface WAN de de fortigate i pfsense

Os dejo un esquema del escenario:

Imagen

Configuración VPN del fortigate:

Imagen
Imagen
Imagen
Imagen
Imagen

Políticas creadas:

Imagen

Imagen

Imagen

Ruta Estática:

Imagen

Configuración de VPN en PFSense:

Imagen

En Peer identifier debo definir la IP WAN asignada a fortigate para que se establezca la comunicación VPN:
Imagen
Imagen
Imagen
Imagen

Como comentaba antes, si hago un ping desde la LAN de pfsense (192.168.214.0 /24) a la LAN de fortigate (192.168.211.0 /24), recibo respuesta, pero no ocurre lo mismo si realizo el ping desde la LAN de fortigate a la LAN de pfsense (hago pings a las IP's de las interfaces LAN de fortigate y pfsense, es decir, a 192.168.211.1 y 192.168.214.1)

Imagen

Si hago un tracert desde la LAN del fortigate hacia la LAN de pfsense, no determina la ruta para llegar a la LAN de pfsense:

Imagen

Os agradecería que alguien me pudiera arrojar luz a este tema. Muchas gracias!!

AndresW
Mensajes: 18
Registrado: 09 Jun 2014, 17:05

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por AndresW »

Hola, cuando corres un sniffer en la interfaz túnel del FortiGate ves entrar ese tráfico hacia la LAN por el extremo del pfSense (192.168.214.0/24)?.

Es extraño, puesto que por alguna razón no está aplicando la ruta estática y el tráfico se está yendo por el default gateway y no por la VPN.

¿Podrías enviar el estado del SA por el lado del FG?.

Saludos,

Responder