2 VPN Site to site en wan1

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
yucalan
Mensajes: 11
Registrado: 05 Abr 2018, 12:14

2 VPN Site to site en wan1

Mensaje por yucalan »

Hola:

Necesito configurar 2 Vpn Site to site en un fortigate 60F, pero solo tengo una linea, asi que tendría que configurar las dos en la wan1.

He probado a configurarlo pero me da errores así que buscando he encontrado para hacerlo mediante mediante el Peer ID, pero al hacerlo asi tengo que configurarlo la conexión como aggressive y al hacer eso los primeros paquetes no los envia encriptados y hace que configurarlo asi tenga una vulnerabilidad.

No se si alguien sabe otra forma de poder hacerlo sin perder seguridad.

Gracias
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: 2 VPN Site to site en wan1

Mensaje por AndresW »

¿Y cuál sería el problema de utilizar la misma interfaz WAN para levantar dos o más túneles IPSec distintos?. No tiene ninguna relación con el eventual inconveniente que puedas estar experimentado.

¿Hiciste un debug al IKE para saber dónde está fallando?.

Personalmente tengo dispositivos con una veintena de túneles IPSec S2S a través de la misma interfaz y sin necesidad de utilizar el modo Aggresive en niguno de ellos, es más todos operan en Main. Por otro lado, utilizar el modo Agressive no te convierte en vulnerable per se, sino que es "eventualmente" inseguro si algún atacante logra hacerse del tráfico al momento del handshaking en IKE, pudiendo obtener el hash de la PSK mediante un sniffer por ejemplo y luego a través de un ataque por fuerza bruta basado en diccionario lograr dar con esta. No obstante aún tienes a tu favor lo robusta que pueda ser la PSK basada en su longitud y aleatoriedad, por lo que podría tomar años romperla.

Espero que no tomes a mal la explicación anterior, pero en un entorno técnico hay que hablar con la verdad de las cosas.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder