Problema con VPN site to site entre Fortigate y pfsense

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
bytebit
Mensajes: 1
Registrado: 05 Dic 2020, 10:21

Problema con VPN site to site entre Fortigate y pfsense

Mensaje por bytebit »

Hola a todos!! Necesito vuestra ayuda!. Os explico:

Necesito crear una VPN IPsec site to site a través de un fortigate 60D con firmware 6.0.6 y un pfsense 2.4.5. Consigo establecer la VPN, pero la comunicación no es bidireccional, es decir, desde la LAN que está por detrás del pfsense (192.168.214.0 /24) consigo ver la LANl que está por detrás del fortigate (192.168.211.0/24), pero no al revés.

Llevo varios días intentando averiguar el motivo, pero no consigo identificar el problema

Os adelanto que llevo poco tiempo trasteando con fortigate y pfsense y no soy un virtuoso de la redes…

También deciros que tanto el fortigate como pfsense se conectan a internet a través de los routers suministrados por el ISP. Estos routers no tienen modo bridge, por lo que he activado la configuración DMZ de cada router asignando la ip de la interface WAN de de fortigate i pfsense

Os dejo un esquema del escenario:

Imagen

Configuración VPN del fortigate:

Imagen
Imagen
Imagen
Imagen
Imagen

Políticas creadas:

Imagen

Imagen

Imagen

Ruta Estática:

Imagen

Configuración de VPN en PFSense:

Imagen

En Peer identifier debo definir la IP WAN asignada a fortigate para que se establezca la comunicación VPN:
Imagen
Imagen
Imagen
Imagen

Como comentaba antes, si hago un ping desde la LAN de pfsense (192.168.214.0 /24) a la LAN de fortigate (192.168.211.0 /24), recibo respuesta, pero no ocurre lo mismo si realizo el ping desde la LAN de fortigate a la LAN de pfsense (hago pings a las IP's de las interfaces LAN de fortigate y pfsense, es decir, a 192.168.211.1 y 192.168.214.1)

Imagen

Si hago un tracert desde la LAN del fortigate hacia la LAN de pfsense, no determina la ruta para llegar a la LAN de pfsense:

Imagen

Os agradecería que alguien me pudiera arrojar luz a este tema. Muchas gracias!!
AndresW
Mensajes: 234
Registrado: 09 Jun 2014, 17:05

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por AndresW »

Hola, cuando corres un sniffer en la interfaz túnel del FortiGate ves entrar ese tráfico hacia la LAN por el extremo del pfSense (192.168.214.0/24)?.

Es extraño, puesto que por alguna razón no está aplicando la ruta estática y el tráfico se está yendo por el default gateway y no por la VPN.

¿Podrías enviar el estado del SA por el lado del FG?.

Saludos,
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Keper
Mensajes: 5
Registrado: 05 Nov 2021, 18:31

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por Keper »

Hola tengo un problema similar pudieron solucionar esto y de que manera?
AndresW
Mensajes: 234
Registrado: 09 Jun 2014, 17:05

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por AndresW »

Nunca contestó la persona que hizo la pregunta. ¿Tu problema puntualmente cuál es?.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Keper
Mensajes: 5
Registrado: 05 Nov 2021, 18:31

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por Keper »

Exactamente el mismo que el, tengo comunicación de la LAN del pfsense al la LAN del fortigate pero de la LAN del fortigate no se comunica nada a la del pfsense
AndresW
Mensajes: 234
Registrado: 09 Jun 2014, 17:05

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por AndresW »

¿Qué tipo de túnel IPSec configuraste policy-based o routed?.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Keper
Mensajes: 5
Registrado: 05 Nov 2021, 18:31

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por Keper »

el tunel es ipsec y tiene policy-based
AndresW
Mensajes: 234
Registrado: 09 Jun 2014, 17:05

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por AndresW »

Te recomiendo utilizar route-based en este caso.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Keper
Mensajes: 5
Registrado: 05 Nov 2021, 18:31

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por Keper »

no sigue sin poder hacer conexión la lan de forti con la del pfsense
AndresW
Mensajes: 234
Registrado: 09 Jun 2014, 17:05

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por AndresW »

¿Y si corres un traceroute hacia dónde se enruta el tráfico?.

La verdad es que sin mayores antecedentes es difícil poder orientarte, no obstante podría recomendarte que revises debugs, logs y hagas un sniffer en la interfaz IPSec.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Keper
Mensajes: 5
Registrado: 05 Nov 2021, 18:31

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por Keper »

Hola de echo ya lo hice jalar el problema estaba en una regla de pfsense que esta mal estructurada
arkus95
Mensajes: 1
Registrado: 12 Nov 2021, 18:30

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por arkus95 »

Imposible establecer conexión VPN (-8)

La VPN estaba trabajando bien, pero ahora me sale ese mensaje y no me deja
conectar.
Me pueden ayudar para saber que solución tiene este error
AndresW
Mensajes: 234
Registrado: 09 Jun 2014, 17:05

Re: Problema con VPN site to site entre Fortigate y pfsense

Mensaje por AndresW »

Primero que todo, tu pregunta no tiene relación con el post original, ya que este trata de un túnel IPSec site to site. Además que es muy vago todo lo que indicas, puesto que el error en si no dice nada muy concreto, tampoco especificas qué tipo de VPN móvil estás utilizando.

El que esta haya estado funcionando previamente tampoco aclara absolutamente nada.

Si tienes acceso al FortiGate podrías averiguar qué está ocurriendo conectándote a través de SSH o consola, y ejecutar los siguientes comandos mientras intentas conectarte a la VPN.

SSL
diag debug application sslvpnd -1
diag debug enable


IPSec
diag debug application ike -1
diag debug enable


Una vez que recolectes la información requerida, para detener el debug:

diag debug disa
arkus95 escribió: ↑12 Nov 2021, 18:50 Imposible establecer conexión VPN (-8)

La VPN estaba trabajando bien, pero ahora me sale ese mensaje y no me deja
conectar.
Me pueden ayudar para saber que solución tiene este error
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder