IPSEC entre dos Fortigates no Funciona DHCP

[saucedevelop]

Saludos al foro,

soy novato en la configuracion de fortigates, me toco la tarea de hacer un tunel entre dos redes la red de Matriz y la red de Sucursal, el tunel lo efectue de tipo IPSEC basandome en el manual de [Debes identificarte para poder ver enlaces.] y el tune funciona muy bien puedo dar ping a todos los equipos de ambas redes por su IP. el detalle es que no puedo accesar por sus nombres, la red matriz uso un fortigate 100a y en la sucurasl un 50a, leyendo entre el foro lei que se ocupaba una regla y primeo agrege en el fortinet de la matriz, en Sistema->DHCP->Wan1 lo pongo de tipo IPSEC y agrego la ip del servidor dhcp y dns despues en Firewall->Politica cree una regla done pongo la direccion de fortigate100a y le pongo origen=wan1 destino=wan1 servicio=DHCP accion=IPSEC. Pero no me funciona alguien que me pueda Orientar,, en la red de la matriz se encuentran todos los servidores en la sucursal solo PC's que se conectaran a los servidores, los servidores son win server 2003 y se autentican mediante active directory,,, de antemano gracias y espero me puedan recomendar un manual, ya que es poco el tiempo que tengo utilizando estos equipos gracia.

[gabyrossi]

Hola, como estas?
si llegas por ping y por dns no, hay que ver que dns usas? en cada red.
por ip llegas a aplicaciones de los extremos?

saludos

[saucedevelop]

Hola GabyRossi,

Gracias por tu pronta respuesta, se que de antemano es dificil entender una situacion como esta, Cuando no se puede ver todo el panorama, aun asi espero me puedas ayudar. Si puedo accesar a los programas del servidor, puedo ejecutar los programas, el problema es que estos me marcan error por que no se pueden conectar a server de sql por que en el ejecutable se referencian a los servidores por nombre y no por IP.
en la matriz uso el rango de 170.25.10.0 el DNS y el DHCP esta en un windows 2003 y en la sucursal uso 170.25.11.0 el servidor DHCP esta configurado por el fortinet 50a, actualmente la sucursal solo tiene el equipo fortigate y una PC en windows xp la cual ejecutara una aplicacion que se conectara a las bd del servidor sql, es decir no tiene un servidor de DNS. como dato anexo, cuando me conecto al servidor me pide mi usario de active directory se lo proporciono y puedo navergar en el servidor en sus recursos compartidos, pero como te comento solo por IP.

[gabyrossi]

Hola, como estas?
Habr si queda mas claro.
en los 2 fortigate das como dns la ip de inaterface del fortigate o dns publicos?
En el caso que las pc tengas dns la in terface del fortigate, este hara forward de los dns que tenga configurados.
si el dhcp que es el fortigate(por lo que entendi) reparte los dns publicos, no podras resolver nosmbre privados.

Que firware usas? si tenes mr1 en adelante podras armar una base de nombres de dns , revisa los links:
[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

SI no tenes firmearer mr1 o superior y usas dns la interface de fortigate o dns publicos, deberas usar el archivo host de las pc agregando nombre = ip.

saludos

[saucedevelop]

Hola GabyRossi, Todo va marchando bien
El firmware que tengo en el Fortigate de la matriz es Fortigate-100A 3.00-b0750(MR7 Patch 7) y en la sucursal Fortigate-50A 3.00-b0752(MR7 Patch y por lo que me comentas en la utlima linea segun la documentacion para habilitar el DNS Forwarding ocupo el FortiOS 4.0 MR1 entonces no voy a poder hacer el dns forwarding. Podre actualizar el Forti OS?? o nada que ver??

en los 2 fortigate das como dns la ip de inaterface del fortigate o dns publicos? -> no se como hacer esto, si te refieres a esto:
Matriz:
Sistema->DHCP>-Wan1
tipo: ipsec
rango de ip: 170.25.10.230 - 170.25.10.254
mascara red: 255.255.2555.0
gateway: 170.25.10.81
dominio: midominio.com.mx

sevidor dns1: 170.25.10.4
servidor dns2: 170.25.10.5
Sistema->DHCP>-Internal (no tengo configuracion)

Sucursal:
Sistema->DHCP>-EXternal (no tengo configuracion)
Sistema->DHCP>-Internal
tipo: regular
rango de ip: 170.25.11.110 - 170.25.11.199
mascara red: 255.255.2555.0
gateway: 170.25.11.99
dominio:

servidor dns1: 170.25.11.99
servidor dns2: 170.25.10.4
servidor dns3: 170.25.10.5


Te comento que primero hice las pruebas sin tener nada configurado en las seccion DHCP y pasaba lo mismo, podia accesar a los equipos por IP pero no por nombre, es decir esta configuraciones al DCHP de los fortigates no me han efectuado ningun cambio salvo el de surcsar que le asigna la IP automaticamente al equipo de windows xp.


Con lo del Archivo Host, pues si agrego los nombre con la ip, esto me Funciona perfectamente, Gracias.... aunque me gustaria que la asignacion de nombres fuera automatica. Como podre lograr esto.

[gabyrossi]

Hola, en la sucursal, que tienen como dns1 170.25.11.99, esta ip es la del fortigate.

entonces ahi esta el tema. El fortigate lo que hace es buscar que dns tiene configurado el mismo, y hace forward a eso.
o pones primero los privados en el dhcp, pero esto tendra algun delay para resolver nombres web (navegacion mas lenta), o configuras un dns privado para que hable con los otros, o haces lo que te comente en el otro post con otro firmware o seguis con lo del host
saludos

[saucedevelop]

Hola GabyRossi,

Muchas GRacias por tu ayuda, el problema quedo resuelto,
HIce lo que me comentaste de poner el el Fortigate de la sucursal la IP del DNS privado, luego intente hacer ping por el nombre a los equipos y nada, en la PC de la sucursal la intente ingresarla al dominio de la matriz y voilà! se ingreso y todo normal, ya tengo acceso a los equipos por nombre y todo normal como como si estuviera localmente en la LAN de la Matriz.

Saludos y nuevamente gracias por la ayuda...

[gabyrossi]

Hola, barbaro!!!!

Ojo, tene en cuenta que a veces hacer ping a las pc ya se por firewall o antivirus de la pc lo filtra.

saludos