vpn ipsec entre 2 sedes

Para temas sobre nuevas y futuras caracteristicas, o caracteristicas nuevas que os gustaría que se incluyeran en un futuro.
Responder
gabrielmatau
Mensajes: 7
Registrado: 24 Ene 2014, 16:49

vpn ipsec entre 2 sedes

Mensaje por gabrielmatau »

Buenas tardes,
tengo una situacion les explico estableci un vpn ipsec entre 2 sedes al parecer todo va bien pero tengo un problema, El punto A puede ver sin problemas todo lo que esta en el punto B , pero el punto B no puede ver lo que esta en el punto A, he probado todo lo que se me ha ocurrido pero no he podido dar con el problema desde las policies hasta enrutamiento.

agradecido ante su valiosa ayuda.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: vpn ipsec entre 2 sedes

Mensaje por gabyrossi »

hola, usas doble wan? usas policy routes?

en los 2 sitios tenes la ruta estatica hacia la red remota?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
gabrielmatau
Mensajes: 7
Registrado: 24 Ene 2014, 16:49

Re: vpn ipsec entre 2 sedes

Mensaje por gabrielmatau »

Gracias por responder gabyrossi, en el sitio A si tengo 2 Wan y tengo la ruta estatica hacia la red remota, en el sitio B tengo una sola WAN y tambien tengo el enrutamiento estatico, ahora en el police route no tengo nada por lo que me mencionas intente agregar 1 police route desde mi red interna del sitio para obligar el trafico a travez de la interfaz ipsec pero no resulto del sitio A que es de donde tengo problemas.

como dato adicional el ipsec lo hice modo interfaz.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: vpn ipsec entre 2 sedes

Mensaje por gabyrossi »

hola, ok ... si no usas policy routes, si o si tenes ruta para cada red remota por la vpn.

las 2 wan estas haciendo algun balanceo?

las pc en cada sitio tienen como gw la ip de la interfaz interna del fortigate?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
gabrielmatau
Mensajes: 7
Registrado: 24 Ene 2014, 16:49

Re: vpn ipsec entre 2 sedes

Mensaje por gabrielmatau »

Hola! si en efecto la interfaces wan del sitio A estan balanceando spilover ambas WAN, en efecto el gw de mi segmento es el fortigate.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: vpn ipsec entre 2 sedes

Mensaje por gabyrossi »

y cuando haces un ping desde una pc.. en el fortigate esa session la ves correctamente ir por la politica de vpn, pero nunca llega a destino?
con un tracert que ves?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
gabrielmatau
Mensajes: 7
Registrado: 24 Ene 2014, 16:49

Re: vpn ipsec entre 2 sedes

Mensaje por gabrielmatau »

llega al fortigate del sitio b pero no tiene respuesta. que es lo que me extrana
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: vpn ipsec entre 2 sedes

Mensaje por gabyrossi »

si nateas la politica wure va desde la vpn a la red interna en el sitio b?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
gabrielmatau
Mensajes: 7
Registrado: 24 Ene 2014, 16:49

Re: vpn ipsec entre 2 sedes

Mensaje por gabrielmatau »

no funciona :(
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: vpn ipsec entre 2 sedes

Mensaje por gabyrossi »

y llegas a la interface interna del fortigate del lado b?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
iescudero
Mensajes: 89
Registrado: 26 Sep 2012, 12:03

Re: vpn ipsec entre 2 sedes

Mensaje por iescudero »

Buenas hace lo siguiente

en los dos firewalls pone el siguiente comando en la consola:

diagnose sniffer packet any "host 192.168.1.1 and host 10.255.255.1 and icmp"

donde 192.168.1.1 es la ip de una pc de "Sitio A" y la 10.255.255.1 es la ip de "Sitio B". luego haces un ping desde el "Sitio B" hacia"Sitio A". En firewall del "sitio B" es casi seguro que veas el mensaje
3.575294 10.255.255.1 -> 192.168.1.1: icmp: echo request

Si en el "Sitio A" ves el mismo mensaje, significa que es este equipo el que te esta bloqueando el trafico, si en cambio muestra un mensaje de echo repply, significa que es el otro firewall.

En el equipo que te este bloqueando el trafico podes hacer este debug:
(ejemplo en firewall del "Sitio B"
diagnose debug flow filter daddr 192.168.1.1
diagnose debug flow filter saddr 10.255.255.1
diagnose debug flow proto 1
diagnose debug flow show trace start 1000
diagnose debug flow show console enable
diagnose debug enable


luego haces otra vez el ping y posteas el resultado, mas que esto para encontrar el problema no se me ocurre.

Aguardo tu respuesta

Saludos!
Responder