VPN Interface Mode

[aherman]

Buenos dias,

Tengo un equipo FG60C con FW V4.0 (MR3 Patch 3) y 5 equipos FG30B con FW v4.0 (MR3 Patch 2) configurados con VPN tipo Interface Mode, se conectan y se ven entre si y los equipos detras de ellos tambien. El problema que tengo es que se desconectan las VPNs y tengo que levantarlas varias veces en el dia.

¿Que parámetro de las VPNs creen que me este fallando? Esta es la configuración en ambos extremos.
Mode: Main (ID Protection)
Authentication Method: Preshared Key
Peer Options: Accept any peer ID
ADVANCED...
Enable IPSec Interface Mode
IKE Version 1
Local Gateway IP: Main Interface IP
P1 Proposal
Keylive 28800
XAuth Disable
Deed Peer Detection: ENABLE

Que no se levanta la VPN al ver que esta caido el enlace entre las puntas?

Saludos ...

[gabyrossi]

hola, como estas? si se caen las vpn seguramente es porque no hay trafico.


revisa en la phase 2 de habilitar por cli el auto-negotiate

saludos

[aherman]

Gracias Gabyrossi,

Me tarde buscando como hacer el auto-negotiate en los equipos, de lo que he leido en knowledge de fortinet hay que hacer lo siguiente:

config vpn ipsec phase2
edit "FG02toFG01_phase"
set auto-negotiate enable
set phase1name FG02toFG01
end

pero el detalle esta en el atributo "phase1name" me arroja el siguiente error:
entry not found in datasource

value parse error before 'FG02toFG01'
Command fail. Return code -3

Ya le intente de varias formas, que crees que me este fallando? si escribo exactame el nombre como aparece en phase1.

[aherman]

hola, como estas? si se caen las vpn seguramente es porque no hay trafico.


revisa en la phase 2 de habilitar por cli el auto-negotiate

saludos

Ya hice esto, y lo he intentado varias veces con 4 equipos diferentes, pero siempre me sale el mismo error del parametro "phase1name", el error es:
entry not found in datasource

value parse error before 'FG02toFG01'
Command fail. Return code -3

Ya estuve leyendo por todos lados, estos son los pasos que sigo hasta llegar al error:
FGT30B3G0801XXXX # config vpn ipsec phase2

FGT30B3G0801XXXX (phase2) # edit "FG05toFG01"
new entry 'FG05toFG01' added

FGT30B3G0801XXXX (FG05toFG01) # set auto-negotiate enable

FGT30B3G0801XXXX (FG05toFG01) # set phase1name FG05toFG01
entry not found in datasource

value parse error before 'FG05toFG01'
Command fail. Return code -3

FGT30B3G0801XXXX (FG05toFG01) # end
node_check_object fail! for phase1name
Attribute 'phase1name' MUST be set.
Command fail. Return code -56

En que me esta fallando?

Saludos ...

[gabyrossi]

hola, no necesitas setear la phase1 dentro de la pahse2

ya lo hbiciste en la vpn creada por web.

solo setea el auto-negotiate.

saludos

[aherman]

hola, no necesitas setear la phase1 dentro de la pahse2

ya lo hbiciste en la vpn creada por web.

solo setea el auto-negotiate.

saludos

Ok, creo que lo que me tratas de decir es lo siguiente,
En modo CLI es,
config vpn ipsec PHASE2name
edit PHASE2name
set auto-negotiate enable
set PHASE1name PAHSE1name
end

Según el equipo no existe el nombre de la PHASE1

[gabyrossi]

hola, dependiendo de que tipo de vpn hiciste(modo policy o modo interface) sera:

config vpn ipsec phase2
edit bombre_vpn
o

config vpn ipsec phase2-interface
edit nombre_vpn

[aherman]

hola, dependiendo de que tipo de vpn hiciste(modo policy o modo interface) sera:

config vpn ipsec phase2
edit bombre_vpn
o

config vpn ipsec phase2-interface
edit nombre_vpn

Quedo resuelto,

Desconocía el atributo phase2-interface, por lo que mi VPN tipo INTERFACE no reconocía los atributos ya mencionados. Resumiendo como se configuro es la siguiente:

En modo CLI
config vpn ipsec phase2-interface
edit "nombre de la phase2 a configurar"
set auto-negotiate enable
set phase1name "nombre del phase1 perteneciente del phase2"
end

Gracias GABYROSSI