Lio entre 2 VPN ?

[rmacian]

Hola,

tengo un fortigate 60B con una VPN para clientes dialup configurada. Es la segunda vez que intento configurar una VPN punto a punto y todo son problemas. He revisado la configuración con el oto extremo y esta correcta. Sin embargo entar por el CLI y hacer un debug veo que se cruzan las VPN.

Las peticiones que me llegan desde el otro extremo son atendidas por el DIALUP en lugar de la punto a punto y las que intenta establecer mi extremo también se cruzan:

Código: Seleccionar todo

0:Valladolid:Valladolid2: IPsec SA connect 3 62.174.Y.Y->212.170.X.X:500, natt_mode=0
0:Valladolid: ignoring request to establish IPsec SA, no policy configured
0: comes 212.170.X.X:500->62.174.Y.Y:500,ifindex=3....
0: exchange=Identity Protection id=53d1164307ca310b/0000000000000000 len=1060
0: found [b]VPNDialup1[/b] 62.174.Y.Y 3 -> 212.170.X.X:500

Por qué me aparece en el found la vpn de dialup ?

Código: Seleccionar todo

list all ipsec tunnel in vd 0
------------------------------------------------------
name=VPNDialup1 0.0.0.0:0->0.0.0.0:0 lgwy=dyn tun=tunnel mode=dialup bound_if=3
proxyid_num=0 child_num=0 refcnt=5 ilast=3546035 olast=3546035
stat: rxp=0 txp=0 rxb=0 txb=0
dpd: mode=off on=0 idle=0ms retry=0 count=0 seqno=0
natt: mode=none draft=0 interval=0 remote_port=0
------------------------------------------------------
name=Valladolid 62.174.Y.Y:0->212.170.X.X:0 lgwy=dyn tun=tunnel mode=auto bound_if=3
proxyid_num=1 child_num=0 refcnt=4 ilast=249 olast=249
stat: rxp=0 txp=0 rxb=0 txb=0
dpd: mode=off on=0 idle=5000ms retry=3 count=0 seqno=1
natt: mode=none draft=0 interval=0 remote_port=0
proxyid=OesiaValladolid2 proto=0 sa=0 ref=1 auto_negotiate=0 serial=2
  src: 192.168.1.0/255.255.255.0:0
  dst: 10.235.1.0/255.255.255.0:0

[rmacian]

He localizado el fallo pero hay algo que no me gusta.

Tenia una regla en el fw que decia

Source Destination Schedule Service Profile

ALL LAN always ANY SSL-VPN

El tener como source ALL hacia que todo entrase por esa VPN, delimité el source al rango que doy por dhcp pero no funcionó hasta que reinicie el Forti.

Por qué he tenido que reiniciar para que coja los cambios? no puedo estar seguro de que los cambios que haga requieran reinicio?

[gabyrossi]

hola, como estas?
la politica que comentas parece ser de una vpn ssl... no tiene que ver son una ipsec....

las vpn ipsec estan armadas contra que equipo? o contra un fortigate?¿ o para conectarte con un forticlient?
que firmware usas?
no necesiats renicinicar para activar cambios....

las vpn son armadas entre ip fijas publicas? o tenes dialup? no me quedo claro

saludos

[rmacian]

La VPN SSL es para que se conecten a través de la interfaz web del fortigate y de los clientes Forticli. La Ipsec está contra otro equipo. El firmware es un MR7 patch 6.

La vpn ya está funcionando pero me molestó que sin tocar la configuración solo por reiniciar ya empezara a funcionar todo. Como digo mi fallo fué que la VPN SSL tenia una politica que trataba todo lo que entraba a mi LAN como VPN SSL, incluso la IPSEC pasaba por ahi por el destino común que tienen.

Ambas ips son públicas y fijas.

[gabyrossi]

hola, jamas vi lo que comentas..

la ipsec es en modo policy o interface?