Crear vpn con distinto segmento

[yoleo]

buenos dias compañeros
Estoy con un problema que no puedo resolver y necesito de su ayuda

Tengo que hacer una vpn site to site pero a donde me tengo que conectar no puedo usar mi segmento de red porque esta en uso y me dieron para que use otro segmento y haga nat

Medio que esto me desconserto porque hice varias vpn pero siempre con los mismo segmentos de la red, les comento como estariamos

Mi red es la 10.10.80.1 (wifi) y la 192.168.1.1 (cableada)

el otro equipo me dieron estas 3 ip a las que tengo q apuntar 172.17.20.19 172.17.20.18 172.17.20.20

el segmento me que medieron para usar ellos es el 172.24.10.136/29 ( ya que los segmentos de mi red los tienen en uso)

Como puedo hacer para poder crear la vpn con el segmento que ellos me pasaron y pueda hacerla funcionar?
Lo que se me ocurrio a mi era usar el puerto DMZ ponerle ese segmento que pasaron ellos y despues aplicar politica de la internal a la DMZ y de la wifi a la DMZ para que pueda llegar a las ip de destino.
Les parece que estoy haciendo bien? se les ocurre otra opcion mas viable? desde ya agradeceria su ayuda ya que estoy atormentado con este problema

Un fuerte abrazo y como siempre excelente el foro.

Saludos.

[And.quijada]

Buenas noches amigo. Recientemente atendimos en el foro un caso similar a ver si te sirve.

viewtopic.php?f=6&t=5921
en este caso usas virtual ip

Espero te sirva.

es lo mismo que una vpn solo que apuntas a la red que te dieron para natear.

Tambien se puede hacer con ip pools y nateas tu politica de ida Saliendo por tu pool creado..

[yoleo]

estimado muchas gracias por la ayuda, me parece una buena opcion.
la otra opcion que me decis de hacer un ip pool como seria? porque trato de armarla en mi cabeza pero no logro encontrarle la vuelta.
porque de la forma que esta el tutorial usa la misma mascara /24 y yo tengo que usar /29, y creo que ahi me la complicaria? puede ser?
desde ya estare eternamente agradecido.
un fuerte abrazo.

[And.quijada]

En los objetos de firewall puedes crear ip pool normalmente lo haces con las ip publicas que te da tu isp para utilizarlas todas cuando te dan 6 por ejemplo puedes publicar un servidor web o de correo con una ip distinta de la que colocas en la interfaz del fortigate. Cuando nateas en la politica le dices que use el pool que creas.

Ahora bien para el caso de la vpn con overlapping puedes hacer lo mismo nateando con un pool que creas para que tu red solapada no sea la de origen si no las del pool.
En la phase 2 de tu vpn usas el pool para levantar el tunel. Del otro lado hacen lo mismo y te funciona. Es parecido a la de virtual ip que te envie.

Espero haberte ayudado.

Saludos

[yoleo]

estimado muchas gracias por su ayuda
pude levantar la vpn entre sitios pero no logro q natee ya que hago un tracert y no logro que salga del firewall adjunto las capturas

el escenario vpn seria

site A mi pool de ip es 192.168.1.0/24
pool que asignaron para la vpn es 172.24.10.136/29

site B remoto 172.17.20.16/29

yo hice el tunel en la fase 2 use el pool que me asignaron con el remoto (funciono y levanta la vpn)

en el ruteo me dicen que tambien tengo que usar el 172.17.20.16/29



la potica la cree asi
internal - vpn





objeto del pool ip nat



vpn - internal



objeto



vpn como estaria



la verdad no se cual podria ser el problema de porque no natea

desde ya agradezco por la mano que me estan dando

un fuerte abrazo

[And.quijada]

Ok ok vamos por parte.

1.- Cuando dices pool que te asignaron a que te refieres? El pool que llegos te dan es al que vas a apuntar como sitio remoto en tu Fase II. el otro pool va con la misma mascara que tu red por ejemplo si tu red de servidores es site A mi pool de ip es 192.168.1.0/24 entoces tu pool es 172.24.10.0/24 Este pool es con el que vas a natear en la política de salida y sera tu red de local en Fase II.

2.- En la política de salida tu red de origen es tu red de servidores 192.168.1.0/24 y la nateas con el pool.
3.- En el virtual IP lo tienes desde 192.168.1.8 hasta la 13 esos son tus servidores?
4.- Las diercciones del pool son distintas del virtual IP.
5.- La ruta debes crearla estatica 172.17.20.16/29 saliendo por la Interfaz VPN Virtual que se genero cuando creaste la VPN, esto si la creastes en Modo Interfaz.

Prueba y me comentas.

Saludos.

[yoleo]

gracias por tu respuesta.

te cuento ellos me dieron el pool 172.24.10.136/29 para que haga la vpn contra su site que es 172.17.20.16/29
eso lo configure en la fase 2 y levanto la vpn

ahora le problema que tengo que no llego a los servidores de ellos
segun ellos me dijeron que en la parte de nat ponga el pool que habia creado para la fase 2 que funcinaria
pero como mi red es /24 y ellos me pasaron /29 me parece que esta ahi el quilombo? puede ser?
despues ellos no tienen que conectarse a mi red yo solo tengo q acceder a 3 servidores de su red

de nuevo gracias por tu ayuda

[yoleo]

hoy hable con la gente del otro site y me pasaron el log y estoy llegando pero la conexion se cae por time out, cuando por ejemplo quiero acceder a los puerto que tengo asignado para ingresar.
y por lo que estuve leyendo puede ser que este fallando la fase 1? la parte de encriptacion que al no estar pasando bien los datos entre fases y por eso la conexion se cae por time out?
porque la fase 2 me marca que esta conectada.
desde ya muchas gracias por su ayuda.
abrazo grande

[And.quijada]

Listo perfecto,

revisa esos detalles de configuración en la fase I

Saludos.

[yoleo]

bueno al final, revisaron la configuracion el otro site y aparentemente habia hecho mas un ruteo, ya quedo funcionando todo.
desde ya muchas gracias por la gran mano que me diste bestia.
abrazo grande

[And.quijada]

Excelente amigo a la orden. Me alegra que hallas resuelto.

Saludos.