No se levanta VPN IPSec.

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
pgarcia
Mensajes: 1
Registrado: 10 Jul 2021, 14:15

No se levanta VPN IPSec.

Mensaje por pgarcia »

Acabo de hacerme cargo de una infraestructura Donde hay un Firewall Fortinet. Este equipo tiene levantada un túnel IPSec Site to Site con Azure que funciona correctamente, pero yo he querido implementar otro túnel contra otro Fortinet con DDNS. Ya he creado el DDNS en forti y funciona correctamente.

El problema es que no consigo que se levante el tunel, he probado varias configuraciones y tengo la sospecha que puede ser un problema en los puertos abiertos necesarios para IPSec. En el nuevo Fortinet, el que tienen el DDNS, he abierto en el router los puertos UDC/TCP: 500, 1500, 1700 y 4500. Pero no he podido comprobar los del otro lado, pero si hay un tuner IPSec a Azure entiendo que estarán abiertos correctamente los puertos.

Mi pregunta es, ¿con esos puertos son necesarios o me falta alguno? Porque yo creo que tengo incluso de mas abiertos. No tengo mucha experiencia trabajando con VPN IPSec.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: No se levanta VPN IPSec.

Mensaje por AndresW »

Hola,

Primero que todo, no pareciese tratarse de un problema a nivel de puertos, lo que si te sugiero es que permitas solamente UDP 500 y 4500 (en el caso de que exista un NAT entre medio), y el resto de servicios TCP/UDP 1500 y 1700 por seguridad deshabilítalos, puesto que no son necesarios para establecer este tipo de túneles.

Acto seguido, y para no comenzar a especular respecto a posibles problemas sin datos concretos, lo más útil será llevar a cabo un debug en ambos FG. Esto se realiza a través del CLI conectándose vía consola o bien SSH y corriendo los siguientes comandos:


diag vpn ike log-filter name El_Nombre_Del_Túnel

diag debug app ike -1

diag debug enable


Intenta levantar la VPN manualmente desde el FG con IP estática, espera unos segundos y empezarás a ver información respecto a la negociación de la fase 1. Una vez hayas capturado los datos que necesitas, para detener el proceso y limpiar el filtro aplicado sólo tienes que ejecutar:

diag debug disable

diag vpn ike log-filter clear


Obs: Probablemente veas pasar demasiada información en la pantalla, por lo que te recomiendo hacer un copy al comando diag debug disable y solo pegalo seguido de un Enter.

Este procedimiento podrá darte luces del por qué no está levantando.

De todas maneras te comparto documentación oficial de los pasos a seguir para un escenario como el que intentas implementar.

[Debes identificarte para poder ver enlaces.]

Si tienes más dudas o requieres más apoyo, te invito cordialmente al grupo de Telegram que está en mi firma.

Saludos!

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder