vpn ipsec con cisco

[lamartinez]

hola amigos tengo un inconveniente con una vpn ipsec entre un fortinet con un concetrador cisco, leventa la fase 1 pero en la fase 2 el fortinet no muestra mensaje de error pero el cisco muestra Error processing payload: Payload ID: 5

yo ya he levantado vpn con ipsec la unica diferencia en este caso es que el host de la vpn no es una ip privada sino una publica que esta nateada en el mismo peer de la vpn, no se si eso puede estar dando problemas, los parametros de las dos fases son identicos en los dos equipos, no se que puede ser

si alguien me puede ayudar se lo agradecere mucho

[gabyrossi]

hola, lo datos de pahse 1 y 2 estan bien?


saludos

[lamartinez]

hola gracias por contestar, los datos de ambas fases estan identicos lo hemos revisados varias veces pero no levanta, los logs en el fortinet son estos

1 2011-11-11 13:11:06 notice delete_phase1_sa Deleted an Isakmp SA on the tunnel to 190.148.xx.xx:500
2 2011-11-11 13:11:06 notice negotiate Initiator: sent 190.148.xx.xx quick mode message #1 (OK)
3 2011-11-11 13:11:06 notice negotiate Initiator: parsed 190.148.xx.xx main mode message #3 (DONE)
4 2011-11-11 13:11:06 notice negotiate Initiator: sent 190.148.xx.xx main mode message #3 (OK)
5 2011-11-11 13:11:06 notice negotiate Initiator: sent 190.148.xx.xx main mode message #2 (OK)
6 2011-11-11 13:11:06 notice negotiate Initiator: sent 190.148.xx.xx main mode message #1 (OK)


como ves no me da ningun error solo el cisco presenta errores.

[prodor]

puedes dar mas informacion de lo que da el debug por favor, yo lo que veo es que no completa la phase1 ya que manda a llamar a la funcion delete_phase1_sa en la sig. linea, aunque no se logra ver porqué:

1 2011-11-11 13:11:06 notice delete_phase1_sa Deleted an Isakmp SA on the tunnel to 190.148.xx.xx:500

saludos

[lamartinez]

hola gracias por contestar, yo no se cual es el problema pero fijate que el esquema de conexion es el siguiente

site cisco site fortinet
host peer peer host
public ip ----->public ip------------------>public ip---->private ip


en casos anteriores yo he usado direcciones publicas para los peers y privadas para los host y no he tenido problemas pero ahora que usan pubicas en el host y en el peer no levanta el tunel. los logs no me muestran mas informacion

[edgarg71]

Hola,
Yo también tengo un problema con un cisco router serie 2900 y me da el miso error "delete_pha1_sa", pero no logro ver ningún error en phase2.
Ya verificamos por cli los parámetros entre mi Fortigate 300A (4.0 MR3 patch1) y el C2900.
Cómo puedo hacer debugging por cli en el fortigate???
Saludos

[gabyrossi]

hola, revisa la phase1 y fijate si el comando

cfg-mode esta disable


linos de comando para vpn:

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

saludos