Error VPN "Received ESP packet with unknown SPI "

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
farolito
Mensajes: 30
Registrado: 20 Ene 2014, 21:07

Error VPN "Received ESP packet with unknown SPI "

Mensaje por farolito »

Hola a tod@s. He creado en dos ocasiones un túnel para conectar con un equipo remoto y las dos veces no termina de levantar el túnel, dando el siguiente mensaje de Error: Received ESP packet with unknown SPI. En Status aparece Status esp_error, ¿sabéis a qué puede deberse? Ya tengo varios túneles en el mismo fortinet (110C) y hasta ahora no me había dado problema para levantar la VPN.
iescudero
Mensajes: 89
Registrado: 26 Sep 2012, 12:03

Re: Error VPN "Received ESP packet with unknown SPI "

Mensaje por iescudero »

Buenas! comparaste los SA de cada lado para saber si estan iguales? el tunel en que modo esta armado?

Saludos!
farolito
Mensajes: 30
Registrado: 20 Ene 2014, 21:07

Re: Error VPN "Received ESP packet with unknown SPI "

Mensaje por farolito »

Buenas. Hemos comparado los parámetros y están iguales. El otro equipo es un sonicwall, y el túnel un site to site, de hecho tengo otro túnel con un sonicwall funcionando correctamente, sólo cambia la wan de salida (tenemos dos ip´s públicas), la interna (lo establecemos con la red de la Secondary IP Address), los parámetros y la preshared key. No debería darnos ese problema pero veo que después de montar dos veces el túnel el error que nos aparece es el mismo: "Received ESP packet with unknown SPI "
farolito
Mensajes: 30
Registrado: 20 Ene 2014, 21:07

Re: Error VPN "Received ESP packet with unknown SPI "

Mensaje por farolito »

Buenas, se ha resuelto y levantado el túnel. Para el que le pase: como tenemos otro equipo sonicwall con el túnel levantado, hemos puesto la misma configuración en el otro equipo, con dh group 5, y pfs habilitado

Me surge ahora un problema, que mis conocimentos no me llegan a resolver, a ver si podéis ayudarme:

Tenemos una red remota (ej. 172.18.21.0) y una local con el fortinet (ej.172.168.4.0), y otro túnel desde la local hacia la (ej.172.168.20.0) y quiero que pueda atacar directamente un equipo del rango remoto 172.18.21.0 a uno de la 172.168.20.0 ¿Cómo podría hacerlo?
farolito
Mensajes: 30
Registrado: 20 Ene 2014, 21:07

Re: Error VPN "Received ESP packet with unknown SPI "

Mensaje por farolito »

Amplío la info por si no me he explicado bien

Quiero que desde un equipo de la red remota 172.18.21.0 se acceda a la 172.168.20.0, que tienen en común un túnel con el fortinet pero lógicamente no tienen un túnel entre ellos y no los gestiono, ¿habría forma?

Imagen
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Error VPN "Received ESP packet with unknown SPI "

Mensaje por gabyrossi »

Hola, tenes que configurar otra phase2 en el tunel de la red 21.x con la 4.x de tal manera que vea la red 20.

Lo mismo en el tunel de la red 4 y 20 que vean la red 21
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
farolito
Mensajes: 30
Registrado: 20 Ene 2014, 21:07

Re: Error VPN "Received ESP packet with unknown SPI "

Mensaje por farolito »

Gracias por la respuesta Gabyrossi, pero no puedo hacerlo así ya que los firewalls no los manejo yo (ni pueden modificarse), aparte son sonicwall. ¿No se puede hacer un nateo por ejemplo para que cuando se ataque desde un equipo de la red de la VPN "A" hacia una ip concreta del rango local del fortinet se redirija el tráfico hacia una ip de la VPN "B"?
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Error VPN "Received ESP packet with unknown SPI "

Mensaje por gabyrossi »

hola, mmmm proba nateando todas las politicas de vpn .. y ruteando las redes
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder