Multiples tuneles IPsec

[pablocsa]

Buenas,

He intentado crear múltiples túneles IPsec contra mi interfaz WAN1 para dar acceso a mi red a diferente proveedores. He creado un tunel VPN por proveedor, teniendo un total de 5, cada uno con su clave compartida. Y por último, en la parte de políticas configuro a que parte de la red tienen acceso cada túnel.

El problema que veo es que cuando intento acceder desde un cliente siempre se intenta conectar al mismo túnel, independientemente de la clave compartida que ponga, es como si solo estuviera activa una y el resto no se pudieran usar. He conseguido tener 4 tuneles activos, asignándole un DH Group diferente a cada una de las VPN, pero solo puedo tener 4.

HE probado también usando el ID Local y agressive, para intentar diferenciar los tuneles, pero sigue conectándose solamente a uno.

Estoy usando un fortigate 60C con el firmware v4.0,build5849,110804 (MR2)

Muchas gracias de antemano por cualquier ayuda o sugerencia que me podáis ofrecer.

Un saludo

[gabyrossi]

hola, como estas?

a demas de la psk, estas autenticando la vpn con un user y pass? eso seria lo ideal
ademas de hacerlas en modo agresivo y con local id.
tambien en modo interface.

saludos

[pablocsa]

Muchisimas gracias por la respuesta,

Tengo el acceso restringido a usuario y pass como bien dices, pero el problema es que el cliente no la solicita pq da error la clave compartida. Da error esa clave pq siempre intenta conectarse por defecto contra el mismo tunel. El cliente fuerzo el local id y el agressive mode cm en el forti pero no me sirve para q se intente conectar al tunel q quiero.


Muchas gracias x tu colaboracion

[gabyrossi]

hola, claro, cada tunel tendra su user y pass... a lo sumo un par de usuarios usando el mismo tuner. eso dependera de la configuracion de accesos.
Es algo comun y funciona ese tipo de vpns.

saludos

[pablocsa]

Exacto, cada túnel tiene su psk y sus usuarios con la pass, pero el problema que tengo, y que nos se solventar, es que cualquier usuario que se conecte por vpn intenta conectarse a un túnel aunque no sea el suyo.

Por ejemplo:

Tengo 6 túneles creados, y con el cliente pongo los parámetros de configuración del túnel 3, el tunel 4 o el tunel 5. Da igual a que túnel intente acceder porque siempre va a intentar conectarse al túnel 1. Por lo tanto solo se pueden conectar los usuarios del túnel 1.

En el cliente estoy configurando los mismos parámetros que están en el fortigate y las políticas de acceso están creadas y activas para cada uno de los túneles.

Muchas gracias por tu tiempo

Un saludo

[gabyrossi]

hola las vpn son en modo interface? o modo policy?

[pablocsa]

Que diferencia hay?? Son dialup, nose si eso responde a tu pregunta.

Un saludo

[gabyrossi]

Hola, mi pregunta es si son en modo interface o policy

a ver...
hay 2 maneras de armar vpn...

modo interface te crea una interface virtual, y en la politica se crean por ejemplo desde la re interna hacia la interface vpn_virtual y viceversa.

modo policy hay una politica de encript desde la interna a la wan

saludos

[pablocsa]

Muchas gracias por la aclaración, lo tengo creado en modo politica de encrypt, de internal a wan 1 y IPsec como action.

[gabyrossi]

hola, seria intersante que armen de modo interface.

saludos

[pablocsa]

Desconocía por completo esa opción siempre los he creado de la otra forma, me podrías indicar cómo puedo configurarlo de esa forma? He estado mirando en la opción de las fases del IPsec y en las políticas y no he encontrado dicha opción

Muchas gracias por tu tiempo

[gabyrossi]

Hola, revisa la guia de vpn

[Debes identificarte para poder ver enlaces.]

saludos

[pablocsa]

Gracias por la guía, he conseguido configurarlo en modo en interfaz, pero sigo teniendo el mismo problema. Siempre se intenta conectar a solamente una de las VPNs creadas, no puedo conseguir que se conecte a la interfaz que quiero.

Tienes algún consejo o idea más?

Saludos.

[gabyrossi]

podrias mostrar una de ellas (phase1 y pahse2)??? y la config del forticlient ?

saludos

[pablocsa]

Perfecto, sin problemas. Te pongo el ejemplo completo.

VPN1: VPN2:
Fase 1:PresharedKey: 1234567890 Fase 1:Presharedkey: 0987654321
Local Interface:Wan1 Local Interface: Wan1
Remote Gateway: Dialup user Remote Gateway: Dialup User
Accept any peer ID Accept any peer ID
DHGroup: 5 DHGroup:5
xauth enable as sever (PAP): group1 xauth enable as sever (PAP): group2
MODE INTERFACE ENABLE IKE 1-Main Interface Gateway MODE INTERFACE ENABLE IKE 1-Main Interface Gateway

Fase 2: DCHP Enable y Fase 1 VPN1 DHCP Enable y Fase 1 VPN2

Firewall.
wan1 ---> VPN1interface Accept all ---> Algunas IPs wan1----> VPN2 interface Accept all ---> Algunas IPs
VPN1 interface ---> wan1 Accept Algunas IPs --->all VPN2 interface ---> wan1 Accept Algunas IPs ---> all
No Nat No Nat


DHCP Server.
Interface VPN1,Modo server,Type IPSec, IP 192.168.2.X Interface VPN2,Modo server,Type IPSec,IP 192.168.3.X


Cliente: IPSec Manual IPSec Manual
Un nombre cualquiera Un nombre cualquiera
Gateway de la Interfaz wan 1 (IP Pública) Gateway de la Interfaz wan 1 (IP Pública)
Red Remota 192.168.2.x Red Remota 192.168.3.x
Llave Compartida: 1234567890 Llave Compartida: 0987654321
Adquirir una Direcc Virtual Adquirir una Direcc Virtual
Autenticación Extendida Autenticación Extendida
DH Group 5 DH Group 5
Modo Principal Modo Principal


Pues esa es mi configuración pero con 4 VPNs más, pues siempre que introduzco los datos en el cliente intenta conectarse, por ejemplo, a la VPN1. Si introduzco los datos de la VPN1 funciona todo corretamente, pero si pongo los datos de otra VPN no porque intenta conectarse a la 1.

He probado a usar agressive mode y local id, también con VPN en modo tunel en vez de interface mode y muchas cosas más y siempre tengo el mismo resultado

Gracias.