Problemas VPN IPSEC Fortigate 110C y FortiWifi 50B

[andryloreto]

Epales,
Panas, tengo en mi sede un Fortigate 110C, con firmware 3.00 MR7 y a este equipo se conecten varias VPN IPSEC sin problemas, unas con firmware 3.00 MR7, otros con 4.00 MR1, y otros con 4.00 MR2. El problema lo tengo con una VPN IPSEC nueva con un equipo Fortiwifi 50B firmware 4.00 MR2 Patch 4, esta VPN se configuro hace 2 semanas y subio sin problemas pero desde el miercoles pasado me estan presentando problemas primeramente me dio INVALID_HASH_INFORMATION y luego al reconfigurarlas la phase2 da error y aunque en el monitoreo del principal 110C se muestra los tiempos de conexión no logra subir completamente y especificamente en el FWF50B indica error en la phase2.

2012-04-09
13:41:18
error
ipsec
37130
negotiate
progress IPsec phase 2

Gracias y Saludos

[gabyrossi]

hola, y como estan armadas las phase2 en los 2 equipos?

saludos

[andryloreto]

Gracias por tu pronta respuesta, te envio las phase2 de ambos equipos:
- FGT110C:
p2 proposal
1- Encryptation 3DES y Authentication SHA1
Enable replay detection
Enable PFS
dh group 5
Keylife 1800
Autokey Keep Alive Enable
Source Addres 172.30.9.0/24
Destination 172.30.60.0/24
-FWF50B:
p2 proposal
1- Encryptation 3DES y Authentication SHA1
Enable replay detection
Enable PFS
dh group 5
Keylife 1800
Autokey Keep Alive Enable
Source Addres 172.30.60.0/24
Destination 172.30.9.0/24

Esa es una de las phase2, probe dejando una sola y siempre el resultado es el mismo

[gabyrossi]

ah tenes varias phase2?
ninguna levanta?

el error en los 2 fortigate es el mismo?
probaste modificando la preshard-key en los 2?

[andryloreto]

Si tengo 6 phase 2 para esta VPN, ninguna levanta; el phe-shared key lo he cambiado dos (2) veces, en ambas veo que la phase1 levante perfectamente pero falla la phase2.
En el equipo FGT110C no me muestra error en los log, solo que la phase2 nunca cambia a bring down, pareciera que no sube sin embargo, el tiempo del timeout comienza a correr y se autonegocia. Ahora en el FWF50B, en el log si muestra error de phase2 y el tiempo de timeout ahi si no corre.

[andryloreto]

Disculpa Gabi no habia visto el error en el FGT110C, en algun momento da este error Responder: parsed x.x.x.x quick mode message #1 (ERROR).

Crees que pueda ser algo del firmware del equipo que tiene la versión 4.00 (FWF50B). Este equipo es nuevo solo tiene 3 semanas de uso y la VPN funciono bien por semana y media, aproximadamente.

[gabyrossi]

hola, para descartar errores, actualiza al ultimo patch de cada version

creo que uno tiene 3.0 mr7 llevalo al patch10 y el que tiene 4.0 mr2 llevalo al patch11

luego vemos.
lo ideal es que borres todas klas phase2 y dejes solo una para ver si levanta, luego vemos el resto.

saludos

[andryloreto]

Hola, solo actualice el FWF50B a 4.00 MR2 patch 11. Logre subir 2 phase2 y la 3era me da error, creo que esta vez es por un tema de sinronizacion con las demas. Mañana lo volvere a intentar para ver. Que otra cosa crees tu que pueda ser?

[gabyrossi]

hola, si en las 2 vpn esta correctamente configuradas las phgase2 no deberia haber problemas.

porque tenes que hacer tantas phase2?¿

saludos