Forticlient / Conexion VPN IPsec

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
jcambras
Mensajes: 3
Registrado: 06 Dic 2019, 17:56

Forticlient / Conexion VPN IPsec

Mensaje por jcambras »

Hola Amigos,

Estoy intentando acceder mediante una conexion VPN IPsec a un servidor de VPN en el trabajo desde un PC con Windows en casa y me da el siguiente error:

06/12/2019 18:58:11 Información VPN id=96566 msg="negotiation information, loc_ip=192.168.1.10 loc_port=500 rem_ip=XXXXXXXX rem_port=500 out_if=0 vpn_tunnel=NOMBRE action=negotiate init=local mode=aggressive stage=1 dir=outbound status=success Initiator: sent XXXXXXXX aggressive mode message " vpntunnel=NOMBRE vpntype=ipsec

06/12/2019 18:58:23 Advertencia VPN id=96561 msg="locip=192.168.1.10 locport=500 remip=XXXXXXXX remport=500 outif=0 vpntunnel=NOMBRE status=negotiate_error No response from the peer, phase1 retransmit reaches maximum count..." vpntunnel=NOMBRE vpntype=ipsec

En el router he abierto todos estos puertos:
1 Internet UDP 514 514 514 514 1
2 Internet UDP 6022 6023 6022 6023 1
3 Internet UDP 8888 8888 8888 8888 1
4 Internet TCP 80 80 80 80 1
5 Internet TCP 6020 6020 6020 6020 1
6 Internet TCP 8900 8900 8900 8900 1
7 Internet UDP 500 500 500 500 1
8 Internet UDP 4500 4500 4500 4500 1
9 Internet TCP/UDP 9216 9216 9216 9216 1
10 Internet TCP/UDP 500 500 500 500 1

Si me conecto desde casa con el mòbil con la aplicación Forticlient sin WiFi funciona perfectamente
Si me conecto desde casa con el mòbil con la aplicación Forticlient con Wifi no funciona
Lo cual me hace pensar que es algun problema con el router.

Alguna idea de dónde puede estar el problema?

Gracias!

Avatar de Usuario
makco10
Mensajes: 1122
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Forticlient / Conexion VPN IPsec

Mensaje por makco10 »

Hola,

Curioso tu inconveniente, al conectar sin problema via LAN descartamos problemas de config en el fortigate, al ser un tema de wifi tendrias que validar que tienes conectividad sin problemas hacia internet.

Ahora cuando dices que te conectas con el mobil sin wifi a que te refieres, compartiendo internet via cable usb?.

Porque te iba a decir que probarar activar el hotspot y probaras conectarte via wifi de ese modo, valida la conexión si fuera posible con un wifi alterno para que salgas de la duda.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

jcambras
Mensajes: 3
Registrado: 06 Dic 2019, 17:56

Re: Forticlient / Conexion VPN IPsec

Mensaje por jcambras »

Hola Makco

Gracias por tu respuesta, te comento las pruebas que he hecho:

Con la aplicación Forticilent instalada en el PC y este conectado por cable NO consigo conectar
Con la aplicación Forticlient instalada en el PC y este conectado por WiFi NO consigo conectar

Con la aplicación Forticlient instalada en el móvil y conectado por WiFi NO consigo conectar
Con la aplicación Forticlient instalada en el móvil y apagando la WiFi en el móbil SI consigo conectar (aquí el router no interviene)

Si activo Hotspot WiFi pasa algo parecido:
Desde el PC conectado al Hotspot y si tengo WiFi activada en móvil NO funciona
Desde el PC conectado a Hotspot y si tengo WiFi apagada en móvil SÍ funciona

Es decir que todo parece indicar que algo en mi router impide la conexión de Forticlient

Que puertos hay que abrir en el router para permitir la conexión de Forticlient?

Gracias!

Avatar de Usuario
makco10
Mensajes: 1122
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Forticlient / Conexion VPN IPsec

Mensaje por makco10 »

Hola,

Si totalmente es un tema con el router de tu LAN.

Veo que dentro de los puertos que estas permitiendo se encuentra el servicio de IKE necesaria para la comunicación, pero tambien el Fortigate utiliza de los siguientes protocolos 50 y 51 que son protocolos IP no puertos.

Quizas en tu caso te favorezca configurar una VPN SSL el cual lo puedes mapear al puerto 443 y asi te puedes conectar evitando las restricciones de tu firewall / router lan.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

jcambras
Mensajes: 3
Registrado: 06 Dic 2019, 17:56

Re: Forticlient / Conexion VPN IPsec

Mensaje por jcambras »

Hola Makco10,

Revisando este documento:
https://docs.fortinet.com/document/fort ... open-ports

Veo que tal como me dices para FortiClient es necesario lo siguiente:
Remote IPsec VPN access UDP/IKE 500, ESP (IP 50), NAT-T 4500
Remote SSL VPN access TCP/443
SSO Mobility Agent, FSSO TCP/8001
Compliance and Security Fabric TCP/8013 (by default; this port can be customized)

He abierto todos estos puertos en mi router, solo me queda verificar con la operadora que el protocolos IP 50 (y 51?) están permitidos

El protocolo IP 51 también es necesario? No veo que el documento lo mencione.

Una VPN SSL no es una opción para mi porque i empresa no las ofrece.

Gracias por tu respuesta.

Saludos!

Avatar de Usuario
makco10
Mensajes: 1122
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Forticlient / Conexion VPN IPsec

Mensaje por makco10 »

Hola,

Si es necesario.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Responder