ERROR COMUNICACION ENTRE DOS REDES VPN

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
cyberquatro
Mensajes: 4
Registrado: 25 Sep 2012, 04:53

ERROR COMUNICACION ENTRE DOS REDES VPN

Mensaje por cyberquatro »

HOLA A TODOS

tengo configuradas unas vpn entre un fortigate 60b y un modem adsl2 tplink . la VPN si levanta Y Puedo hacer ping entre las ips de de la red interna de cada aparato (fortigate y Modem TPlink)

es decir del fortinet 60b (SitioA) hago ping a la ip de la red interna de TPLINk (SitioB) y si hay respuesta. desde cualquier otro equipo (pc) dentro de la red interna del equipo FORTIGATE (SitioA) hago ping al ADSL TP-LINK tambien me responde, pero cuando mando un ping a cualquier otro equipo dentro de la red del SitioB estos no responden.

Del SitioB hago ping al fortinet 60b (SitioA)y a cualquier otro dispositivo de la red interna del SitioA y si hay respuesta de todos los equipos.

hice prueba haciendo VPN en modo tunel y en modo interface y en ambos casos es la misma situacion.

Anexo imagen VPN Fase1 SitioA
fase1_SitioA.jpg


Anexo Imagen con configuracion VPN Fase2 SitioA
fase2_SitioA.jpg

En Quick mode Selector especifice la source address red local o segmento del dispositivo.
en destination address puse la la red o segmento remota

Anexo imagen con configuracion VPN SitioB fase 1 y 2
VPN-SitioB.jpg


EN fortinet ((SitioA) hice dos policy
1.- Source SitioA all - Destination SitioB all any acept no nat
2.- Source SitioB all - Destination SitioA all any acept no nat

probe tambien cambiando all por la ip de red lan local respectivamente.

tambien en el fortinet hice una ruta estatica con la configuracion siguiente
destination IP/mask Ip de la red remota
device interface vpn
gateway por default ya que no se permite modificar por ser en modo interface

priority 4
distance 10

la wan 1 tiene priorida 3 y distancia 10

Alguna sugerencia que me puedan dar al respecto

Saludos
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: ERROR COMUNICACION ENTRE DOS REDES VPN

Mensaje por gabyrossi »

hola, la ruta hacia la vpn modificale la distancia menor a 10

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
cyberquatro
Mensajes: 4
Registrado: 25 Sep 2012, 04:53

Re: ERROR COMUNICACION ENTRE DOS REDES VPN

Mensaje por cyberquatro »

Hola gabyrossi

Gracias por tu pronta respuesta, ya probe poniendole una distancia menor a la vpn y no ha funcionado, alguna otra sugerencia al respecto

Saludos
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: ERROR COMUNICACION ENTRE DOS REDES VPN

Mensaje por gabyrossi »

Hola, proba nateando las politicas.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
cyberquatro
Mensajes: 4
Registrado: 25 Sep 2012, 04:53

Re: ERROR COMUNICACION ENTRE DOS REDES VPN

Mensaje por cyberquatro »

Hola Gaby

ya probe y tampoco funciono. crees que sea necesario hacer un pilice route.

saludos
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: ERROR COMUNICACION ENTRE DOS REDES VPN

Mensaje por gabyrossi »

Hola, policy route si es que tenes mas de 1 wan... tenes mas de una y ya estas usando policy route?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
cyberquatro
Mensajes: 4
Registrado: 25 Sep 2012, 04:53

Re: ERROR COMUNICACION ENTRE DOS REDES VPN

Mensaje por cyberquatro »

hola gaby

la vpn la estoy probando teniendo activa unas sola wan (wan1) aunque el proyecto es tener tres wan (wan1 wan2 t dmz como wan), como no fucnionava hice un policy route para ver si se corrigia el problema y siguio igual

adicional a esta vpn tengo dada de alta una par conectarse via forticlient es por eso que preguntaba si era necesario las police route

saludos
raynaud
Mensajes: 15
Registrado: 13 Oct 2012, 01:59

Re: ERROR COMUNICACION ENTRE DOS REDES VPN

Mensaje por raynaud »

hay 2 cosas que prodrias probar.

la primera en el FG ami me a pasado que por ejemplo para la vpn requiero 3 reglas si es por interfaces o 2 si es por ipsec estatic la ultima siempre es al final colocar all to all para que tu que eres miembro de la red A puedas ver los demas equipos.

caso B

puede ser que de B no vas a los equipos miembros de la red A si estos no tienen agregada una ruta, es decir todos los equipos de la red A que tenga agregada la ruta del segmento de la B, son visibles para la red B

y te daras cuanta si

192.16.A.1 tiene agregada la ruta 192.16.B.0/24 por 192.16.A.254

en tu red B

en cualquier equipo de la red B si haces ping a la red 192.16.A.254 si lo vez
si haces ping a 192.16.A.1 si lo vez
pero si haces ping a 192.16.A.2 no lo vez

intenta con esto haber si puedes solucionarlo

saludos.
Responder