es possible crear una VPN Site2Site con DDNS

[dalexsoto]

Hola a todos soy nuevo totalmente en esto de los fortigates, y quisiera ver si me podrian ayudar con unas dudas sue tengo

Se pueden crear Vpn Site 2 Site cuando los 2 sitios tienen ip dinamica? tengo un servicio contratado con DynDns en ambas (ya configurado y funcionando)

los modelos de los FortiWifi que tengo son 80CM y 60C, el 80 esta en la oficina central y el 60 esta en la sucursal, ambos son V4 MR3 Patch 3

Creo yo que como son ips dinamicas y por las opciones que trae el fortiwi es mejor que el 60c sea un dialup client y el que inicie la conexion y el 80CM sea el que este al escucha de la solicitud de las VPN, o me equivoco?

Si estoy en lo correcto alguien tengra algun tuto de como hacerlo? Saludos y muchisimas gracias de antemano por sus respuestas

[gabyrossi]

hola, como estas?
hola si podrias hacerlo dial up o dyndns contra dyndns,
slaudos

[dalexsoto]

Hola muchas gracias por tu respuesta, tendras algun tutorial de como hacerlo? saludos y nuevamente muchas gracias

[dalexsoto]

El Tunel VPN esta activo pero no pasa nada de trafico y en el log tengo varios errores en el Phase 2

Date Time 2011-11-28 20:36:50 Date 2011-11-28
Time 20:36:50 Level error error
Sub Type ipsec ID 37124
Message IPsec phase 1 error Action negotiate
IPSec Remote IP 189.166.---.--- IPSec Local IP 187.142.---.---
Remote Port 500 Outgoing Interface wan1
Local Port 500 Cookies f6a77dc0ae7dc35d/ae2a4293eb6ab3c6
User n/a Group n/a
XAUTH User n/a XAUTH Group n/a
Status negotiate_error VPN Tunnel VPNCentral
Error Reason peer notification Peer Notification INVALID-SPI

y este

Date Time 2011-11-28 22:38:59 Date 2011-11-28
Time 22:38:59 Level error error
Sub Type ipsec ID 37131
Virtual Domain root Message IPsec ESP
Action error IPSec Remote IP 187.142.---.---
IPSec Local IP 189.166.---.--- Remote Port 500
Outgoing Interface wan1 Local Port 500
Cookies f6a77dc0ae7dc35d/ae2a4293eb6ab3c6 User N/A
Group N/A XAUTH User N/A
XAUTH Group N/A Status esp_error
VPN Tunnel N/A Error Number Received ESP packet with unknown SPI.
SPI a0fdb406 Sequence 00000004

tengo exactamente la misma configuracion en ambos fortinets tanto en el phase 1 como en el phase 2 alguna idea?

[gabyrossi]

hola, desde un fortigate al otro si haces ping al nombre del dynds resuelven ?
podria snmostrar phase1 y phase2?
politicas?
saludos

[dalexsoto]

Hola Muchas gracias por tu respuesta, te comento

Sip puedo hacer ping sin ningun problema entre los dyndns y resuelven la ip correctamente

te adjunto los config reducidos de ambos fortis

Config del site


config system interface
edit "wan1"
set vdom "root"
set mode pppoe
set allowaccess ping https
set type physical
set alias "2wire"
set username "yyy"
set password ENC ---
set defaultgw enable
next
edit "wan2"
set vdom "root"
set mode pppoe
set allowaccess ping
set type physical
set weight 1
set alias "thompson"
set username "yyy"
set password ENC ---
next
edit "internal"
set vdom "root"
set ip 172.17.2.1 255.255.254.0
set allowaccess ping https ssh http telnet fgfm
set type physical
set alias "PDHInterna"
next
edit "dmz"
set vdom "root"
set ip 172.17.0.1 255.255.254.0
set allowaccess ping http
set type physical
set alias "Servidores"
next
edit "VPNSubLeon"
set vdom "root"
set ip 0.0.0.0 255.255.255.255
set status down
set type tunnel
set interface "wan1"
next
end
config system dns
set primary 208.91.112.53
set secondary 208.91.112.52
set domain ''
set ip6-primary ::
set ip6-secondary ::
set dns-cache-limit 5000
set dns-cache-ttl 1800
set cache-notfound-responses disable
set source-ip 0.0.0.0
end
config system dhcp server
edit 1
set default-gateway 172.17.2.1
set interface "internal"
config ip-range
edit 1
set end-ip 172.17.2.200
set start-ip 172.17.2.100
next
end
set netmask 255.255.254.0
set dns-server1 172.17.0.9
set dns-server2 172.17.0.10
set dns-server3 8.8.8.8
next
end
config firewall address
edit "all"
next
edit "SSLVPN_TUNNEL_ADDR1"
set type iprange
set end-ip 10.212.134.210
set start-ip 10.212.134.200
next
edit "RedServidores"
set associated-interface "dmz"
set subnet 172.17.0.0 255.255.254.0
next
edit "RedInterna"
set associated-interface "internal"
set subnet 172.17.2.0 255.255.254.0
next
edit "SubLeonInterna"
set subnet 172.17.6.0 255.255.254.0
next
edit "SubLeonInternaWifi"
set subnet 172.17.8.0 255.255.254.0
next
edit "PPTPcLIENTS"
set subnet 172.17.26.0 255.255.254.0
next
end
config firewall addrgrp
edit "SubLeonGroup"
set member "SubLeonInterna" "SubLeonInternaWifi"
next
end
config firewall shaper traffic-shaper
edit "high-priority"
set maximum-bandwidth 1048576
set per-policy enable
next
edit "medium-priority"
set maximum-bandwidth 1048576
set per-policy enable
set priority medium
next
edit "low-priority"
set maximum-bandwidth 1048576
set per-policy enable
set priority low
next
edit "guarantee-100kbps"
set guaranteed-bandwidth 100
set maximum-bandwidth 1048576
set per-policy enable
next
edit "shared-1M-pipe"
set maximum-bandwidth 1024
next
end
config user fsso
edit "FSSOPrimario"
set password ENC ---
set server "172.17.0.10"
next
end
config vpn ipsec phase1-interface
edit "VPNSubLeon"
set type ddns
set interface "wan1"
set proposal 3des-sha1 aes128-sha1
set remotegw-ddns "---.dyndns.org"
set psksecret ENC xxxxxxx
next
end
config vpn ipsec phase2-interface
edit "VPNSubLeonP2"
set auto-negotiate enable
set keepalive enable
set phase1name "VPNSubLeon"
set proposal 3des-sha1 aes128-sha1
next
end
config vpn pptp
set status enable
set eip 172.17.26.20
set sip 172.17.26.10
set usrgrp "subLeonPptp"
end
config firewall policy
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
edit 2
set srcintf "internal"
set dstintf "wan2"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
edit 3
set srcintf "internal"
set dstintf "dmz"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
next
edit 6
set srcintf "dmz"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
edit 7
set srcintf "dmz"
set dstintf "internal"
set srcaddr "all"
set dstaddr "RedInterna"
set action accept
set schedule "always"
set service "ANY"
next
edit 8
set srcintf "dmz"
set dstintf "VPNSubLeon"
set srcaddr "RedServidores"
set dstaddr "SubLeonInterna"
set action accept
set schedule "always"
set service "ANY"
set comments "Politica VPN DMZ a SubLeon"
next
edit 9
set srcintf "VPNSubLeon"
set dstintf "dmz"
set srcaddr "SubLeonInterna"
set dstaddr "RedServidores"
set action accept
set schedule "always"
set service "ANY"
set comments "Regla VPN SubLeon a la DMZ"
next
edit 10
set srcintf "wan1"
set dstintf "dmz"
set srcaddr "PPTPcLIENTS"
set dstaddr "RedServidores"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
end
config router static
edit 1
set comment "Ruta VPN SubLeon"
set device "VPNSubLeon"
set dst 172.17.6.0 255.255.254.0
next
edit 2
set comment "Ruta VPN Sub LEon wifi"
set device "VPNSubLeon"
set dst 172.17.8.0 255.255.255.255
next
end
config router policy
edit 1
set input-device "internal"
set dst 172.17.0.0 255.255.254.0
set output-device "dmz"
next
end
config router gwdetect
edit "wan1"
set failtime 3
set server "200.38.193.226"
next
edit "wan2"
set failtime 3
set server "200.38.193.226"
next
end




Config del Cliente remoto

config wireless-controller vap
edit "wifi"
set vdom "root"
set ssid "PDHSubLeon"
set encrypt TKIP-AES
set passphrase ENC ---
next
end
config system interface
edit "dmz"
set vdom "root"
set ip 10.10.10.1 255.255.255.0
set allowaccess ping https fgfm
set type physical
next
edit "wan2"
set vdom "root"
set mode pppoe
set allowaccess ping fgfm
set type physical
next
edit "wan1"
set vdom "root"
set mode pppoe
set allowaccess ping fgfm
set type physical
set username "xxxx@yyy.ooo.mx"
set password ENC xxxx
set defaultgw enable
next
edit "internal"
set vdom "root"
set ip 172.17.6.1 255.255.254.0
set allowaccess ping https ssh http fgfm
set type physical
set alias "Interna"
next
edit "wifi"
set vdom "root"
set ip 172.17.8.1 255.255.254.0
set allowaccess ping https
set type vap-switch
set description "Wifi Interna"
next
edit "VPNCentral"
set vdom "root"
set ip 0.0.0.0 255.255.255.255
set type tunnel
set interface "wan1"
next
end
config system dns
set primary 208.91.112.53
set secondary 208.91.112.52
set domain ''
set ip6-primary ::
set ip6-secondary ::
set dns-cache-limit 5000
set dns-cache-ttl 1800
set cache-notfound-responses disable
set source-ip 0.0.0.0
end
config system ddns
edit 1
set monitor-interface "wan1"
set ddns-server dyndns.org
set ddns-domain "pppp.dyndns.org"
set ddns-username "mmmmm"
set ddns-password ENC mmmmmmmm
next
end
config system dhcp server
edit 1
set default-gateway 172.17.6.1
set interface "internal"
config ip-range
edit 1
set end-ip 172.17.6.200
set start-ip 172.17.6.100
next
end
set netmask 255.255.254.0
set dns-server1 172.17.0.9
set dns-server2 172.17.0.10
set dns-server3 8.8.8.8
next
edit 2
set auto-configuration disable
set default-gateway 172.17.8.1
set interface "wifi"
config ip-range
edit 1
set end-ip 172.17.8.200
set start-ip 172.17.8.100
next
end
set netmask 255.255.254.0
set dns-server1 172.17.0.9
set dns-server2 172.17.0.10
set dns-server3 8.8.8.8
next
end
config firewall address
edit "all"
next
edit "SSLVPN_TUNNEL_ADDR1"
set type iprange
set end-ip 10.212.134.210
set start-ip 10.212.134.200
next
edit "CentralDMZ"
set subnet 172.17.0.0 255.255.254.0
next
edit "SubLEonInterna"
set subnet 172.17.6.0 255.255.254.0
next
edit "SubLeonInternaWifi"
set subnet 172.17.8.0 255.255.254.0
next
end
config firewall addrgrp
edit "SubLeonGroup"
set member "SubLEonInterna" "SubLeonInternaWifi"
next
end
config user group
edit "FSSO_Guest_Users"
set group-type fsso-service
next
edit "Guest-group"
set member "guest"
next
end

config vpn ipsec phase1-interface
edit "VPNCentral"
set type ddns
set interface "wan1"
set proposal 3des-sha1 aes128-sha1
set remotegw-ddns "lol.dyndns.org"
set psksecret ENC lllllll
next
end
config vpn ipsec phase2-interface
edit "VPNCentralP2"
set auto-negotiate enable
set keepalive enable
set phase1name "VPNCentral"
set proposal 3des-sha1 aes128-sha1
next
end
config firewall service explicit-web
edit "webproxy"
next
end
config firewall policy
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
edit 2
set srcintf "wifi"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
edit 3
set srcintf "wifi"
set dstintf "internal"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
next
edit 4
set srcintf "internal"
set dstintf "wifi"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
next
edit 5
set srcintf "internal"
set dstintf "VPNCentral"
set srcaddr "SubLEonInterna"
set dstaddr "CentralDMZ"
set action accept
set schedule "always"
set service "ANY"
set comments "Regla VPN Interna a la Central DMZ"
next
edit 6
set srcintf "VPNCentral"
set dstintf "internal"
set srcaddr "CentralDMZ"
set dstaddr "SubLEonInterna"
set action accept
set schedule "always"
set service "ANY"
set comments "Regla VPN Central DMZ a Interna"
next
end
config router static
edit 1
set comment "Ruta VPN Central"
set device "VPNCentral"
set dst 172.17.0.0 255.255.254.0
next
end
config router multicast
end


Espero te sirva saludos

[dalexsoto]

Ya tambien intente esto

config vpn ipsec phase1-interface
edit <name-der-phase1>
set mode-cfg disable
end

y tampoco me funciono ya estoy algo impaciente

[dalexsoto]

Decidi probar con el modo dial up ya logue hacer la conexion, el tunel esta levantado pero solo hay trafico del site a la sucursal pero de la sucursal al site no hay trafico el tunel lo levante en modo internface supongo que ahora se debe a que tengo mal configurado o el Firewall o las reglas de ruteo, espero me puedan ayudar, les dejo las configuraciones que tengo tanto en el firewall como en el router de ambos equipos. Saludos

el de la sucursal no deja salir el trafico
[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

[gabyrossi]

Hola, cuando habras un post, no es necesario ser tan extenso y copiar config.
si, es bueno copiar las partes de las config, nesecarias como en este caso, vpn, politicas y rutas. Interfaces no es necesaria ya se supone que dijiste que estaban funcionando y respondiendo ping.

en los dibujos se ve una policy route (no es necesaria).
las distancias de las rutas hacia lka vpn deben serv menores a la que tiene las interfaces wan. No se ven en ningun caso....
politicas, necesitas politicas de ida y vuelta (interface vpn-> interna y viceversa). no es secesario el nat en esas politicas.

saludos

[aherman]

Pudiste resolver tu problema?

Decidi probar con el modo dial up ya logue hacer la conexion, el tunel esta levantado pero solo hay trafico del site a la sucursal pero de la sucursal al site no hay trafico el tunel lo levante en modo internface supongo que ahora se debe a que tengo mal configurado o el Firewall o las reglas de ruteo, espero me puedan ayudar, les dejo las configuraciones que tengo tanto en el firewall como en el router de ambos equipos. Saludos

el de la sucursal no deja salir el trafico
[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]