Crear Site to site con mismo segmento

[kazztro]

Hola buenas tardes. ¿como están?, generalmente mis dudas siempre las encuentro en Internet, pero esta vez me di por vencido, busque y no encontré nada respecto al problema que se me presento hace unos días.

Resulta que mi Fortinet 110C tengo habilitada varias VPN (aprox. 8 ) donde el cliente ocupa un segmento diferente al mio ip ( 192.168.0.0 ), pero apareció un nuevo cliente que tiene el mismo segmento mio y no quiero configurar la VPN para que no tener conflicto.

La necesidad en resumen, es, ¿puedo configurar la VPN site to site utilizando el mismo segmento IP? (origen y destino)

LADO A
192.168.0.0

LADO B
192.168.0.0

Que puedo hacer? "Mapeo de Virtual IP", éste ultimo no se utilizarlo o para que sirve, si alguien se anima a ayudarme, se lo agradecería.

Saludos.

[And.quijada]

Buen dia Amigo,

Es bastante sencillo son VPN con overlapping subnets, en el siguiente enlace tienes el procedimiento.

[Debes identificarte para poder ver enlaces.]

Saludos.

[kazztro]

Buen dia Amigo,

Es bastante sencillo son VPN con overlapping subnets, en el siguiente enlace tienes el procedimiento.

[Debes identificarte para poder ver enlaces.]

Saludos.

Hola And.quijada, veo que esa configuración es basada en FortiOS 5.0. Pero tengo FortiOS 4. No es el mismo, mira el menú.

Tu ayuda por favor.

[And.quijada]

Buen día kazztro,

Esa versión de Firmware que tienes no es 4 siquiera es V.3 ,sin embargo, el procedimiento es el mismo lo que debes tener presente es que al crear la VPN en la fase 1 selecciones modo Interface. Del resto es exactamente igual. Como lo indica el manual si separas los pasos serian los siguientes:

1. Crear Túneles VPN entre los dos FortiGate (En tu versión por defecto las crea modo Tunnel por eso en fase 1 marca modo Interfaz, esto te va a crear la interfaz virtual asociada a la WAN para que selecciones en el Virtual IP y la ruta estática.

2. Agregar el rango de direcciones en virtual IP (En este caso una red que creas en cada extremo para direccionar el trafico de un extremo a otro (Esta red la creas tu, puede ser cualquiera que no interfiera con tus redes actuales, la mascara igual que la que tienes solapada con el otro extremo. Ejemplo su tu red solapada es 192.168.0.1/24 creas el virtual ip 172.16.1.0/24

3. Crear políticas de entrada y salida, en este caso las redes local y remota van a ser las del virtual IP creado.

4. Configurar ruta estática saliendo por la interfaz virtual y hacia la red virtual ip creada en el otro extremo.

5. Estos pasos los debes repetir en el otro Fortigate. Invirtiendo las redes locales y remotas.

Espero te sirva la información

Quedo a la orden.

Saludos.

[kazztro]

Buen día kazztro,

Esa versión de Firmware que tienes no es 4 siquiera es V.3 ,sin embargo, el procedimiento es el mismo lo que debes tener presente es que al crear la VPN en la fase 1 selecciones modo Interface. Del resto es exactamente igual. Como lo indica el manual si separas los pasos serian los siguientes:

1. Crear Túneles VPN entre los dos FortiGate (En tu versión por defecto las crea modo Tunnel por eso en fase 1 marca modo Interfaz, esto te va a crear la interfaz virtual asociada a la WAN para que selecciones en el Virtual IP y la ruta estática.

2. Agregar el rango de direcciones en virtual IP (En este caso una red que creas en cada extremo para direccionar el trafico de un extremo a otro (Esta red la creas tu, puede ser cualquiera que no interfiera con tus redes actuales, la mascara igual que la que tienes solapada con el otro extremo. Ejemplo su tu red solapada es 192.168.0.1/24 creas el virtual ip 172.16.1.0/24

3. Crear políticas de entrada y salida, en este caso las redes local y remota van a ser las del virtual IP creado.

4. Configurar ruta estática saliendo por la interfaz virtual y hacia la red virtual ip creada en el otro extremo.

5. Estos pasos los debes repetir en el otro Fortigate. Invirtiendo las redes locales y remotas.

Espero te sirva la información

Quedo a la orden.

Saludos.

Hola And.quijada,

A que te refieres en modo Interfaz?, en interfaz seleccionó la RED WAN por donde salgo (en este caso enlace de movistar).



Realice todo lo que dice el manual, y aparentemente todo esta ok, esperare que el cliente lo configure para realizar una prueba...

Gracias por todo!!

Saludos.
Cristopher Castro.

[And.quijada]

Perfecto,
Las vpn se pueden configurar modo interfaz o modo tunnel investiga un poco sobre eso. En las versiones de so por debajo de 5.0 por defecto se colocaban en modo tunnel y es controlada por la política.
Desde la version 5 en adelante se crea la vpn en modo interfaz por defecto y es controlada por la ruta. Esta te crea una sub-interfaz vpn con el nombre de La fase 1 y enrutas el tráfico a través de esta interfaz virtual. Debes crear una política de ida y una de vuelta como lo indica el manual.

[And.quijada]

Efectivamente tu interfaz local es la wan como lo muestras en la imagen eso está bien. En la fase 1 debes tener marcado el check modo interfaz y para comprobarlo deberías tener una interfaz virtual asociada a tu wan1.
Lo ves en nertwork---interface. Se debe llamar FGT1_TO_FGT2 ,esta interfaz estará asociada al vip y por ella enviaras el tráfico en la ruta hacia la Red remota (ruta estática)
Cualquier cosa estamos a la orden

Saludos.

[kazztro]

Efectivamente tu interfaz local es la wan como lo muestras en la imagen eso está bien. En la fase 1 debes tener marcado el check modo interfaz y para comprobarlo deberías tener una interfaz virtual asociada a tu wan1.
Lo ves en nertwork---interface. Se debe llamar FGT1_TO_FGT2 ,esta interfaz estará asociada al vip y por ella enviaras el tráfico en la ruta hacia la Red remota (ruta estática)
Cualquier cosa estamos a la orden

Saludos.

Estimado, realice todo lo anterior, pero ingrese al menú SISTEMA->RED->INTERFASE y encontré este campo, que hace referencia al nombre de la primera fase. Que datos pongo ahí? en IP "0.0.0.0" y en IP REMOTA "0.0.0.0" ... Agradezco toda tu ayuda.

[And.quijada]

Ahí no debes colocar ninguna configuración la dejas como esta. Sólo falta el ajuste en el otro fortigate para que levante la vpn y luego ahi vas a ver la interfaz up

[kazztro]

Ahí no debes colocar ninguna configuración la dejas como esta. Sólo falta el ajuste en el otro fortigate para que levante la vpn y luego ahi vas a ver la interfaz up

Hola, hicimos las pruebas, pero solo se conecta en fase1. La fase 2 no la levanta... que puede ser?, seguí al pie de la letra todo, pero no funciona...

[And.quijada]

Verifica que todos los parámetros estén iguales en ambos lados en la fase 2 y que los selectores sean los correctos. Red local y remota, así como la política que estén las redes correctas como lo indica el manual.

[kazztro]

Verifica que todos los parámetros estén iguales en ambos lados en la fase 2 y que los selectores sean los correctos. Red local y remota, así como la política que estén las redes correctas como lo indica el manual.

Funciono todo perfecto. Rabia un problema desde el cliente, que ya estaba utilizando el mismo segmento ip que me había asignado. Gracias por todo. Funciono a la perfección.

Saludos

[And.quijada]

Excelente a la orden.

Felicidades.

Saludos.

[kazztro]

Excelente a la orden.

Felicidades.

Saludos.

Hola, ¿como estas?, solicitaron que ingrese a través de la VPN a INTRANET del cliente y para acceder necesito configurar los DNS de ellos en mi red. Como puedo realizarlo?

Tengo PING a los DNS del cliente, Hay alguna forma de visualizar o alguna otra alguna manera para que funcionen?

Intente configurar manualmente estos dns (pc windows) en un equipo de mi red, pero no funcionan...

Cualquier ayuda te lo agradecería.

Saludos.

[And.quijada]

Buen día estimado,

La mejor opción es creando una zona en tu DNS y en el creas un registro A que apunte a la IP del cliente esto lo haces en el DNS privado, normalmente es el mismo servidor de directorio activo. Como las redes se solapan el cliente debe crearte una direccion externa paar que le llegues a la red. En el caso de la zona y registro A te coloco un ejemplo.

Supongamos que el dominio del cliente es ejemplo.local y el servidor se llama srvintranet, creas una zona dns que se llame ejemplo.local y un registro A llamado srvintranet.

El registro entonces pudieras llegarle desde tu red con tus dns como están al servidor srvintranet.ejemplo.local.

Saludos.