VPN con direccion secundaria

[eecrs]

saludos, tengo este pequeño detalle para conectar una vpn, tengo lo siguiente:

local forti
WAN1 177.x.x.250
Ip secundarias 177.x.x.251

-En la parte remota trato de conectar la vpn hacia la ipsecundaria
VPN Remote Gateway 177.x.x.251


-En mi fortin local en los log me muestra que primer evento lo atiende la conexion la ip de mi interfas 177.x.x.250
- en el Segundo Evento atiende mi ip secundaria 177.x.x.251 y en error que me mensiona es: peer SA proposal not match local policy

la logica esta bien? como puedo hacer para que mi ip secundaria atienda las peticiones VPN.
o que error estoy cometiendo.

deceo conectar mi VPN a la direccion local. ya que mi proveedor de internet me otorgo 4 ips, lo cual las agrege como secundarias.

[makco10]

Hola,

El evento lo que indica es que tienes configuración en algunas de las fases que no concuerdan entre cada Fortigate, trata de revisar la config de la vpn y que todo sea exactamente igual.

La vpn es de Fortigate a Fortigate?.

Intenta antes apuntando la vpn hacia la ip wan 251 y ver si levanta si no levanta igual es un tema de configuracion.

Te comparto este link para tema de troubleshooting: [Debes identificarte para poder ver enlaces.]

Saludos.

[eecrs]

gracia por contestar, cuando veo los log en la primera PHASE1 conecta a 177.x.x.250 y en la PHASE2 conecta a mi ip secundaria 177.x.x.251, no se por que primero contesta la ip de la interface, y por ende marca error. como se puede hacer para que conteste pero la IP secundaria.

[makco10]

Hola,

Revisaste que la config en ambos lados sea la misma?.

Revisa este link y realiza lo del paso 3 : [Debes identificarte para poder ver enlaces.]

Saludos.

[eecrs]

si los dos lados tienen la misma

[makco10]

ok, cambia el local gateway con el link que te compartí arriba.

Saludos.

[eecrs]

creo que ahi sera el detalle, deceo que hacer esto:

177.x.x.250--sitio remoto 1
177.x.x.251--sitio remoto2
177.x.x.252--sitio remoto3
177.x.x.253--sitio remoto3

que tada ip que tengo se conecte a una vpn especifica, se puede aplicar este planteamiento o esta fuera de los esquemas del forti

[makco10]

No veo problema.

Saludos.

[eecrs]

tengo que hacer por cada una de las ip secundarias el Set para cada una de las IP?

set local-gw 177.x.x.250
set local-gw 177.x.x.251
set local-gw 177.x.x.252
set local-gw 177.x.x.253

[makco10]

Para cada una de las vpn, si.

[eecrs]

entiendo que el comando indica que todas las ip sean primarias en la interface?

[makco10]

si, a obligar a que la vpn apunte a la ip secundaria y no a la ip principal de la interface.

[eecrs]

y si ya tengo una VPN en la principal, pero deceo hacer otra VPN con otra ip, si hago el cambio me desconectara en la Primaria?

[makco10]

Lo mejor serias hagas pruebas cuando no este en uso.

[eecrs]

eso si, pero lo que estoy entendiendo que IP de la interface es la principal dejara de serlo para las VPN, al momento de ejecutar los comandos, la interface principal dejara de serlo y la ip secundaria sera la que reciba toda las conexiones de VPN.?