conf vpn-ipsec paso a paso

[santi-ti]

Hola a tod@s!!!

tengo un gran dolor de cabeza por configurar una vpn-ipsec....os explico cómo tengo todo:

1.router Speedstream adsl. wan 80.25.x.x y lan 172.16.0.1/24
Tengo NAT puerto 4500/500 UDP a la ip del fortigate 172.16.0.2
2.Fortigate 500A
dos puertos: puerto3 LAN_local (172.26.51.1/24) puerto5 ADSL (172.16.0.2/24)
Ruta estática 0.0.0.0 0.0.0.0 172.26.0.1 puerto 5
Regla firewall desde LAN_local any all --- ADSL any all , encrytado marcado all Allow inbound Allow outbound
Configuración de la VPN-ipsec
Paso 1:
Gateway Name vpn_ipsec
Remote Gateway static
IP Address 80.25.x.x
Dynamic DNS
Mode Aggressive x Main (ID protection)
Authentication Method Preshare KEy
Pre-shared Key xxxxxxxxxx
Certificate Name
Peer Options Accept any peer ID x

P1 Proposal

1 - Encryption 3DES Authentication SHA1

DH Group 1 2 x 5
Keylife (120-172800 seconds) 86400
Local ID (optional)
Local ID
XAuth Disable x Enable as Client Enable as Server
Username
Password
Server Type PAP CHAP MIXED
User Group
Nat-traversal Disable
Keepalive Frequency (0-900 seconds)
Dead Peer Detection Enable


Paso 2

Tunnel Name Tunnel_to_vpn_ipsec
Remote Gateway vpn_ipsec

P2 Proposal
1- Encryption: 3DES Authentication: SHA1

Disable replay detection
Disable perfect forward secrecy(PFS).
DH Group 1 2 x 5
Keylife: 86400 (Seconds) (KBytes)
Autokey Keep Alive Enable
DHCP-IPsec Enable
Internet browsing port5
Quick Mode Identities Use selectors from policy
Use wildcard selectors
Specify a selector

Source address all
Source port 0
Dest address all
Dest port 0
Protocol 0


Hasta aquí la configuración....


Lo que quiero es conectarme desde un portatil con un moden-USB, o desde cualquier otro sitio utilizando un cliente ipsec, ahora estoy utilizando el forticlient (alguna otra sugerencia de cliente)

Lo tengo configurado el cliente asi:

Conecction name-vpn
REmote gateway-80.25.x.x
Remote Network-172.16.0.0/24
Authentication Method-Preshared Key xxxxxxxxx
IkE- 3DES-SHA1, Mode Agressive, DH group 2, Key life second 86400
IPsec- 3DES-SHA1, DH group 2, Key life second 86400





Por favor no se que hacer más, os necesito!!!!!

Gracias

[gabyrossi]

hola, como estas? que firmware usas en el fortigate? tu adsl te da ip fija???

saludos
Gabriel

[santi-ti]

Hola


Mi firmeware es Fortigate-500A 2.80,build489,051027

Si mi ADSL me da IP fija....

[gabyrossi]

hola, como estas? Te recomiendo que primero actulices el firmware y te bajes el forticlient ultimo de mr7.
Para actulizar el firmware tenes que mirar los release notes ya que vas a tener qye hacer varios pasos intermedios porque ese firmware que tenes ahora es muy antiguo.

saludos
Gabriel

[thblabla]

tu speedstream lo tienes como router o como bridge?

[santi-ti]

Lo tengo cómo router...

[gabyrossi]

Hola, coo estas? Lo ideal seria ponerlo como bridge y hacer la configuracion del user y passwword en la inerface del fortigate.

saludos
Gabriel

[santi-ti]

Gracias Grabiel.


Pero cómo hago lo de user y pass???

Me puedes guiar paso a paso si no es mucha molestia????

Gracias!

[gabyrossi]

Hola, en la interface donde conectaas el cable que viene del modem adsl, eliges ppoe y le configuras el user y password que te paso el proveedor de internet.

saludos
Gabriel

[santi-ti]

esos datos no dispongo de ellos...Pero prefiero hacerlo mejor por NAT que por Brigde...Te parece???

Tengo abiertos los puertos 4500/500 udp del router a la ip del firewall.

Gracias

[Albert]

Hola,

Acabo de comprar un FORTIGATE 60B (OS3 MR6) con el que quiero dar acceso a mi LAN mediante el cliente Forticlient desde Internet por VPN IPSEC. Siguiendo las pautas marcadas por la web bujarra, he conseguido que mediante un equipo,el forticlient y un cable cruzado, entrara sin problemas desde la interface wan1 del fortigate que tengo configurada. El problema surge en cuanto ya la conecto un router adsl multiusuario (NAT) con IP fija. Pasando el test del forticlient, éste se queda en la autenticación de usuario.
Os agradeceré cualquier ayuda al respecto, si bien tengo algunas pistas que quizás sean acertadas:
* Configurar el router en monopuesto.
* Configurar el fortigate para que haga el nat
* Que la red wan sea del tipo pública
* Que la cabecera wan apunte a la ip fija de la adsl
* Que le router sea ipsec passthrought o algo así.

Ahora lo tengo del modo siguiente:

interface intranet1: 194.0.3.0/24 - fortigate 194.0.3.254 - gateway 194.0.3.254
interface wan1: 192.168.2.0/24 - fortigate 192.168.2.253 - gateway 192.168.2.254

Gracias de nuevo.

[gabyrossi]

Hola, como estas? tendras que poner el modem en modo bridge y configurar la wan con los datos del proveedor user y pass.

saludos
Gabriel

[Albert]

Gracias por responder Gabriel.
Me puedes concretar algo más lo que tengo que canviar del fortigate al respecto del guión que utilizé para configurarlo ([Debes identificarte para poder ver enlaces.]) - ya tengo un usuario creado que es el que utilicé para la prueba exitosa con el cable cruzado, procedimiento que no aparece en este guión como paso previo relacionado.


Gracias de nuevo.

[Albert]

He hablado con el fabricante del router y me indican que tengo que configurarlo desabilitando el NAT y habilitando el bridge además de lo siguiente:
A partir de la IP fija se calcula la IP LAN del Router. Utilizando una calculadora científica:
IP LAN del Router => ( (IP fija o pública) AND (Mascara pública) ) + 1
Ejemplo:
IP fija: 213.84.56.156 Máscara: 255.255.255.192
IP LAN del Router => ( (156) AND (192) ) + 1 = 129 Por tanto, IP LAN del Router = 213.84.56.129
Configuración de la tarjeta de red
Dirección IP: IP fija o pública -> 213.84.56.156 Máscara de red: Máscara Pública -> 255.255.255.192
Puerta de Enlace: IP LAN del Router -> 213.84.56.129
Configuración del Router
- Configuración LAN
IP LAN: IP LAN del Router -> 213.84.56.129 Subset Mask: Máscara Pública -> 255.255.255.192
- Configuración WAN
Static IP: 172.26.0.1 Subnet Mask: Máscara Pública -> 255.255.255.192
Gateway: 172.26.0.2
- Otros Parámetros: Bridge -> Enable NAT -> Disable

--- la verdad es que me he perdido en la configuración wan y el rango que aparece de 172 ...

[gabyrossi]

Hola, ok, bien lo que te falta es acomodar la wan como para que de afueras la veas con un ip publica o con un dyndns.
para eso el modem debe estar en modo bridge y la wan del fortigate en modo ppoe config. el user y pass que te dio el proeveedor y que en este momento esta configurado en el modem adsl.

saludos
Gabriel