Problemas rutas estaticas sobre una interfase VPN

[hectorcs]

Tengo un problema, el cual, no le encuentro explicación, espero me ayuden, el escenario es el siguiente:

En oficinas centrales, tenemos instalado un FortiGate 110C el cual está conectado a 5 servicios de Internet diferentes.
Usando la conexión que tenemos en el Puerto número 2, creamos una VPN en modo interface.
En el sitio identificado como oficina remota, tenemos instalado un Fortigate 100A, con una conexión a Internet en el puerto WAN2.
En el fortigate 110c, el proveedor que recibimos en el puerto 2 es el mismo que recibimos en el fotigate 100A en la wan 2, este proveedor nos dio la subred 172.31.53.0/24, y en su nube, los equipos para alcanzarse no requieren NAT. Es decir, para verse ambos fortigate, no salen a Internet, todo viaja por la nube del ISP.

En ambos sitios tenemos un enlace dedicado DS0, mediante equipo Cisco, este enlace está conectado al Fortigate 110C en el Puerto 3 y en el Fortigate 100A en la Wan1.

Lo que queremos hacer, es que todo el tráfico que vaya entre las redes LAN de ambos sitios, se vayan mediante la VPN, ya que es la que tiene mejor ancho de banda, y tener el enlace dedicado de los DS0 de respaldo, así cuando se caiga la vpn, el trafico se vaya mediante el DS0.

Para hacer esto, generamos en el Fortigate 110C, rutas estáticas para indicar que cuando queramos alcanzar la sub-red 172.16.1.0/24, se vaya el trafico por la VPN, esta ruta tiene valor en la distancia de 1 y prioridad de 0, y se puso otra ruta al mismo destino pero, por el puerto 3, con un valor en distancia de 10 y prioridad de 1. Cuando generamos trafico interesante, la vpn levanta.

Ya con la VPN arriba, vemos en router-monitor- que aparezca la ruta que manda el tráfico por la vpn, para alcanzar la sub-red 172.16.1.0 /24.
En el fortigate 100A, pusimos una ruta que para alcanzar la subred 172.16.148.0/24 se vaya por la interfase vpn, esta ruta con valores de 1 en distancia y 0 en prioridad, colocamos otra ruta a la misma subred pero que se vaya por la wan1, esta ruta con valores de 10 en distancia y 1 en prioridad. Cuando levanta la vpn, aparece la ruta, en router-monitor y en esta se ve que todo lo que vaya para la subred 172.16.148.0/24 se vaya por la vpn.

El problema que tenemos, es que cuando la VPN levanta, y hacemos una prueba de traza de ruta (tracert), desde el punto central que es la sub.-red 172.16.148.0/24 o 172.16.150.0/25 hacia la sub-red 172.16.1.0/24, vemos que el tráfico se va por el enlace dedicado y no por la VPN.

Cuando hacemos la prueba desde la oficina remota (subnet 172.16.1.0/24), vemos que el trafico si se va por la VPN, pero en el Segundo salto, donde debería resolver que es la interface en la cual se creó la vpn, nos indica que está entrando por otro Puerto del fortigate 110C, en este caso el 8, que tienen una conexión a Internet, pero no es por el cual se creó la VPN.
Ya hice la prueba de dar de baja el puerto 8 del Fortigate 110C, pero al hacer esto, y hacer la prueba de traza de ruta, nos indica que el trafico entra al fortigate 110C, por el puerto Wan2 y no por el puerto 2.

Espero me puedan aportar sus ideas.
Saludos.

[gabyrossi]

Hola, me perdi con tanta explicacion y redes....

tendras algun grafico con las redes y dibujo de los equipos????

saludos

[hectorcs]

Si tengo un pdf con graficos, pero cuando intente anexarlo al tema, me indican que la extensión pdf no es valida, en que formato puedo subir el archivo?
Saludos.

[gabyrossi]

Hola, subi alguna imagenes.. jpg por ejemplo

[hectorcs]

espero, los archivos sirvan para explicar mejor mi problema

[hectorcs]

Estas son mas imagenes que complementan.

[hectorcs]

Los ultimos archivos.
Gracias de antemano. Saludos.

[hectorcs]

El orden de las imagenes es de abajo para arriba.

[gabyrossi]

Hola, perdon, pero no entiendo...

porque tenes un monton de ruta sin puerta de enlace?????
en cual de los 2 fortigate no ves trafico por la politica? si pone en las politicas de firewall la columna trafico, tienen trafico las politicas de vpn? solo en uno? ninguno?

no entendi en un momento aclaras que sale por la vpn pero se va por otro puerto?

por casualidad estas manejando politicas de ruteo?????????
muchos de los dibujos no se ven claro por la difenicion.

saludos

[hectorcs]

Hola, perdon, pero no entiendo...

porque tenes un monton de ruta sin puerta de enlace?????
en cual de los 2 fortigate no ves trafico por la politica? si pone en las politicas de firewall la columna trafico, tienen trafico las politicas de vpn? solo en uno? ninguno?

no entendi en un momento aclaras que sale por la vpn pero se va por otro puerto?

por casualidad estas manejando politicas de ruteo?????????
muchos de los dibujos no se ven claro por la difenicion.

saludos

Las rutas sin dirección gateway, están así, por que un ingeniero de fortinet al revisar el caso, me recomendo que lo pusiera, así, yo tenia antes cada ruta con la dirección del gateway definido.
No manejo politicas de ruteo en el fortigate 100A, si en el 110C pero no para esos destinos, las uso para indicar la salida a Internet a unos host de la red Lan.

En donde sale por la VPN es en la oficina remota, en la oficina central al hacer un tracer veo que el trafico no se va por la Vpn y si por la interface del enlace dedicado.
Saludos

[hectorcs]

Se me olvidaba mencionar que aun no me pueden ayudar los ingenieros de fortinet, por eso acudo a este foro, ya que aplique los cambios que me recomiendan y aun no veo funcionando bien la vpn.

[gabyrossi]

Hola, vos de donde sos?
esta dificil ayudarte por aca, porque hay varias cosas por revisar.

saludos

[hectorcs]

Soy de México, voy a presionar a Fortinet a que me ayuden a resolver el caso, en cuanto me funcione la vpn, documento el caso por si a alguien se le ofrece.
Saludos.

[gabyrossi]

Hola, lo que necesitas resolver no es nada complejo, pero no termino de entender las redes de un fortigate las del otro... los distintos enlaces... y vpn..
en los graficos no se ve bien las ips etc.

[hectorcs]

Gracias, por el interes, ya cerre el caso con fortinet, y me ayudaron a demostrar que mi configuración esta correcta, con el debug flow vi como el trafico entre los 2 sitios
esta pasando por la vpn.
Lo que me queda de duda, es por que cuando desde la pc mando un tracert al destino, me indica como si el trafico no pasara por la vpn?????
Como me dijo el ingeniero de fortinet, es un caso para la araña!!!!!!
Saludos.