tengo 4 fortinets conectados por IPSEC entre si en diferentes sites, y tengo el problema en una IPSEC entre dos de ellos. Todas las demas estan bien, y todas con la misma configuracion de phase1 y phase2. Los modelos son Fortinet 80c.
Resulta que la VPN-IPSEC una vez configurada y levantada aguanta perfectamente, pero al rato, 30 minutos mas o menos... la IPSEC sigue levantada pero he dejado de hacer ping entre los dos sites...
para arreglarlo cambio las contraseñas de la phase1 en ambos Fortinets... y asi todo el rato.
ya he desconectado de la corriente los dos equipos y he creado varias veces esa VPN-IPSEC con varias contraseñas y configuraciones.
alguna sugerencia¿?
Problema IPSEC entre dos sites
Re: Problema IPSEC entre dos sites
hola, podrias mostrar la phase 1 y phase2?
saludos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema IPSEC entre dos sites
en los dos equipos la misma configuracion, con la misma contraseña.
Phase 1:
NAME: SUR
Remote Gateway: Static IP Address
ip Adress: ---.---.x.x
local interface: wan1
mode: Main(id protection)
Authentication Method: preshared key
pre-shared key: *******
Accept any peer ID
3DES - SHA1
AES128 - SHA1
DH Group: 1,2
keylife 28800
XAUTH:Disable
NAT TRAVERSAL: enable
keepalive frequency: 10
dead peer detection: enable
Phase 2:
3DES - SHA1
AES128 - SHA1
Enable replay detection
enable perfect forward secrecy
DH GROUP: 2
Keylife: 1800 seconds
Phase 1:
NAME: SUR
Remote Gateway: Static IP Address
ip Adress: ---.---.x.x
local interface: wan1
mode: Main(id protection)
Authentication Method: preshared key
pre-shared key: *******
Accept any peer ID
3DES - SHA1
AES128 - SHA1
DH Group: 1,2
keylife 28800
XAUTH:Disable
NAT TRAVERSAL: enable
keepalive frequency: 10
dead peer detection: enable
Phase 2:
3DES - SHA1
AES128 - SHA1
Enable replay detection
enable perfect forward secrecy
DH GROUP: 2
Keylife: 1800 seconds
Re: Problema IPSEC entre dos sites
hola....
a ver ... si, las psk debe ser igual contra el equipo que se arme la vpn. Pero no debe tener la misma psk en otra vpn en el mismo equipo.
se entiende?
fortigate 1 -> vpn1-2 -> fortigate2 (aca misma psk en fortigate1 y fortigate2 para vpn1-2)
fotigate1 -> vpn2-3 -> fortigate3 (aca es otra psk que la vpn anterior, pero misma psk para fortigate 1 y fortigate 2 en vpn2-3)
y asi sucesivamente.
saludos
a ver ... si, las psk debe ser igual contra el equipo que se arme la vpn. Pero no debe tener la misma psk en otra vpn en el mismo equipo.
se entiende?
fortigate 1 -> vpn1-2 -> fortigate2 (aca misma psk en fortigate1 y fortigate2 para vpn1-2)
fotigate1 -> vpn2-3 -> fortigate3 (aca es otra psk que la vpn anterior, pero misma psk para fortigate 1 y fortigate 2 en vpn2-3)
y asi sucesivamente.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Problema IPSEC entre dos sites
Buenas, en la VPN que te falla, comprueba que los lifetime de la phase 2 son iguales en ambos extremos.
El comportamiento que describes coincide con lifetimes distintos en phase 2. El tunel se levanta, queda establecido pero la phase 2 deja de funcionar cuando el lifetime de uno de los peers ha llegado a su fin. El otro peer no renegocia porque su lifetime aún no ha expirado.
Saludos,
El comportamiento que describes coincide con lifetimes distintos en phase 2. El tunel se levanta, queda establecido pero la phase 2 deja de funcionar cuando el lifetime de uno de los peers ha llegado a su fin. El otro peer no renegocia porque su lifetime aún no ha expirado.
Saludos,
Re: Problema IPSEC entre dos sites
Despues de unas cuantas semanas, puedo confirmar que el error estaba en que tenian la misma PSK en la phase1. Desde que las cambié no ha vuelto a fallar.
muchas gracias gabyrossi.
muchas gracias gabyrossi.
Re: Problema IPSEC entre dos sites
Hola, era lo que te habia dicho que revisaras!
buenisimo
saludos
buenisimo
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst