VPN IPSEC entre dos fortinet 90E y dos router de por medio

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
pedro.13021986
Mensajes: 2
Registrado: 19 Jun 2018, 13:27

VPN IPSEC entre dos fortinet 90E y dos router de por medio

Mensaje por pedro.13021986 »

Buenas tardes,
Soy muy nuevo en el mundo de fortinet, por lo que esta pregunta para muchos de vosotros será muy obvia, pero yo no soy capaz de encontrar solución.
El escenario es el siguiente:
- Seda A Interface 1 subred 172.16.0.0/24, Interface WAN1 ip 192.168.0.10, ip del router 192.168.0.1. Esta sede sale a internet por el router sin problema.
-Sede B Interface 1 subred 172.16.1.0/24, interface WAN1 ip 192.168.1.10, ip del router 192.168.1.1. Esta sede sale a internet por el router sin problema.
Quiero conectar estas dos sedes mediante una vpn ipsec, por lo que he abierto los puertos 500 y 4500 de ambos router en ambas sedes hacia la ip que corresponde a la ip de la wan1 de cada una de ellas. Por ejemplo: en la sede A e abierto los puertos del router (192.168.0.1) hacia la ip de la interface wan1 192.168.0.10. Por lo que puedo ver en el "Eventos VPN" la fase uno levanta (acción negotiate, estado success, resultado OK), pero cuando voy a monitor ipsec veo que pone la flecha roja hacia abajo, por lo que el tunel no funciona.
He estado revisando las politicas e veo que permito el tráfico tanto de entrada a la interface que me genera ipsec como salida desde la subred local hacia la tarjeta que genera el ipsec. y que la ruta estatica está apuntando a la red del otro forti, en los dos extremos.
¿Alguien podría decirme donde puedo encontrar documentación para poder conectar ipsec cruzando 2 router intermedios?
He probado a conectar una segunda linea, con ip fija, directamente en la wan2 sin router por el medio en los dos extremos, y levanta correctamente.

Fortigate 90E enlos dos extremos, version de firware v6.0.1 build0131

Un saludo
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: VPN IPSEC entre dos fortinet 90E y dos router de por medio

Mensaje por gabyrossi »

hola, pudiste hacer und ebug?
los puertos son udp

[Debes identificarte para poder ver enlaces.]
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
pedro.13021986
Mensajes: 2
Registrado: 19 Jun 2018, 13:27

Re: VPN IPSEC entre dos fortinet 90E y dos router de por medio

Mensaje por pedro.13021986 »

Buenos días,
He podido hacer el debug, paso una muestra de los resultados a ver si pueden ver algo que yo no estoy viendo:

ike 0:REDY-R: request is on the queue

ike 0:REDY-R:REDY-R: IPsec SA connect 27 178.x.x.x->185.x.x.x:0

ike 0:REDY-R:REDY-R: using existing connection

ike 0:REDY-R:REDY-R: config found

ike 0:REDY-R: request is on the queue

ike 0:REDY-R:REDY-R: IPsec SA connect 27 178.x.x.x->185.x.x.x:0

ike 0:REDY-R:REDY-R: using existing connection

ike 0:REDY-R:REDY-R: config found

ike 0:REDY-R: request is on the queue

ike 0:REDY-R:7226: out 5464E0FB051028EC00000000000000000110020000000000000001C40D000154000000010000000100000148010100080300002801010000800B0001000C00040001518080010007800E008080030001800200048004000E0300002802010000800B0001000C00040001518080010007800E00808003000180020004800400050300002803010000800B0001000C00040001518080010007800E010080030001800200048004000E0300002804010000800B0001000C00040001518080010007800E01008003000180020004800400050300002805010000800B0001000C00040001518080010007800E008080030001800200028004000E0300002806010000800B0001000C00040001518080010007800E00808003000180020002800400050300002807010000800B0001000C00040001518080010007800E010080030001800200028004000E0000002808010000800B0001000C00040001518080010007800E01008003000180020002800400050D000014AFCAD71368A1F1C96B8696FC775701000D0000144048B7D56EBCE88525E7DE7F00D6C2D30D0000184048B7D56EBCE88525E7DE7F00D6C2D3C0000000000000148299031757A36082C6A621DE00000000

ike 0:REDY-R:7226: could not send IKE Packet(P1_RETRANSMIT):178.x.x.x:500->185.x.x.x:500, len=452: error 101:Network is unreachable

ike 0:REDY-R:REDY-R: IPsec SA connect 27 178.x.x.x->185.x.x.x:0

ike 0:REDY-R:REDY-R: using existing connection

ike 0:REDY-R:REDY-R: config found

ike 0:REDY-R: request is on the queue

ike 0:REDY-R:7226: negotiation timeout, deleting

ike 0:REDY-R: connection expiring due to phase1 down

ike 0:REDY-R: deleting

ike 0:REDY-R: deleted

ike 0:REDY-R: schedule auto-negotiate

ike 0:REDY-R:REDY-R: IPsec SA connect 27 178.x.x.x->185.x.x.x:0

ike 0:REDY-R:REDY-R: config found

ike 0:REDY-R: created connection: 0x1478dac0 27 178.x.x.x->185.x.x.x:500.
ike 0:REDY-R: IPsec SA connect 27 178.x.x.x->185.x.x.x:500 negotiating

ike 0:REDY-R: no suitable ISAKMP SA, queuing quick-mode request and initiating ISAKMP SA negotiation

ike 0:REDY-R:7228: initiator: main mode is sending 1st message...

ike 0:REDY-R:7228: cookie 2b76ed2da96623f4/0000000000000000

ike 0:REDY-R:7228: out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

ike 0:REDY-R:7228: could not send IKE Packet(ident_i1send):178.x.x.x:500->185.x.x.x:500, len=452: error 101:Network is unreachable

ike 0:REDY-R:7228: out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

ike 0:REDY-R:7228: could not send IKE Packet(P1_RETRANSMIT):178.x.x.x:500->185.x.x.x:500, len=452: error 101:Network is unreachable

Un saludo
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: VPN IPSEC entre dos fortinet 90E y dos router de por medio

Mensaje por gabyrossi »

hola, no se ven ... Network is unreachable
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder