Si desde el forti 50e hago un telnet a la máquina remota, se conecta sin problemas, pero si lo hago desde mi equipo, no llega.
La cosa es que la VPN tiene un NAT en mi lado, que hace que me identifique en el remoto con la IP de mi PEER. En principio , con eso no hay problemas.
Al haber diferencias al crear las ipsec en modo interfaz y modo tunel, ando perdido puesto que no puedo añadir una ruta estatica para que me redirija el tráfico a través de la interfaz de ipsec que se habría generado (no existe). Leyendo, veo que hay que hacerlo con políticas.
Me podríais echar una mano?
como creo una politica de enrutado?
Yo tengo creada esta, pero veo que no es suficiente/incorrecta
Código: Seleccionar todo
FortiGate-50E # config firewall policy
FortiGate-50E (policy) # edit 8
FortiGate-50E (8) # get
policyid : 8
name : TUNEL_VPN_DESTINO
srcintf : "lan"
dstintf : "wan1"
srcaddr : "LAN_INTERNA"
dstaddr : "VPN_DESTINO_Group"
internet-service : disable
internet-service-src: disable
reputation-minimum : 0
rtp-nat : disable
action : ipsec
status : enable
schedule : always
schedule-timeout : disable
service : "ALL"
tos-mask : 0x00
anti-replay : enable
utm-status : disable
inspection-mode : flow
logtraffic : utm
logtraffic-start : disable
session-ttl : 0
vlan-cos-fwd : 255
vlan-cos-rev : 255
wccp : disable
fsso : disable
natip : ---.---.---.--- 255.255.255.255 <--- IP de mi peer con la que hago el nat
diffserv-forward : disable
diffserv-reverse : disable
tcp-mss-sender : 0
tcp-mss-receiver : 0
comments :
block-notification : disable
custom-log-fields :
replacemsg-override-group:
srcaddr-negate : disable
dstaddr-negate : disable
service-negate : disable
timeout-send-rst : disable
captive-portal-exempt: disable
ssl-mirror : disable
ssl-mirror-intf :
dsri : disable
radius-mac-auth-bypass: disable
delay-tcp-npu-session: disable
vlan-filter :
profile-protocol-options: default
ssl-ssh-profile : no-inspection
traffic-shaper :
traffic-shaper-reverse:
per-ip-shaper :
inbound : enable
outbound : enable
natinbound : disable
natoutbound : enable
vpntunnel : VPN_DSTINO
match-vip : disable
gracias