VPN desde Fortigate a Palo Alto

[poitevin]

Estoy intentando establecer un tunel desde una red local con Fortigate 60B hacia otra gestionada con Palo Alto Network (PAN). De momento he leido en varios hilos el procedimiento, y en los manuales propios de Fortinet (IPsec VPNs y Fortigate Administrative Guide). Mas o menos tengo claro cual es el camino: Entendiendo que el otro extremo ( el de PaloAlto) ya esta confgurado, el protocolo pasa por crear en el fortigate a traves de la opcion Autokey (IKE) la fase uno con el Nombre, el tipo de Gateway Remota, la Direccion IP, el local interface, modo de Autenticacion, la Pre-shared Key, y las diferentes opciones avanzadas . Despues la fase 2 con sus diferentes opciones identicas a las creadas en Palo Alto. HAsta aqui lo he hecho.
Ahora bien...antes de pasar a crear las politicas de uso entre uno y otro punto, quiero levantar la VPN...para ver si "negocian" bien ambos extremos aunque no pueda acceder a contenidos de uno u otro extremo....entiendo que esto es posible endome al monitor de IPSec y cliqueando en Levantar VPN (Bring Up). Bueno pues aqui es donde empiezo a chocar...de momento cliqueo y el sistema no me da resultado alguno. ¿donde puedo ver el log del fallo al intentar levantar el VPN? HE mirado en casi todos los menus de log y no veo nada. El tema es ue quiero saber : si esta haciendo la peticion, si el otro extremos la recibe, y cual es el fallo. Una vez resuelto este asunto me pondria con las politicas...pero si nisiquiera puedo levantar el tunel, ni se cual puede ser el fallo...pues estoy un poco a ciegas.

En el otro extremo ( PAlo ALto) me dicen que no llegan ni siquiera las peticiones desde mi IP Publica de Fortigate hacia la IP del Palo Alto. ¿en los logs del trafico del fortigate se registran los intentos de levantar el tunel desde el monitor de Ipsec?

Soy primerizo con Fortigate...y supongo que habra opciones que se me escapan, o limitaciones que desconozca...pero veo que me he estancado demasiado pronto.

Gracias de antemano y un saludo

[gabyrossi]

Hola, para internatr ñevantar una vpn ipsec al menos necesitas 1 politica de vpn.


Los logs los ves en el log de eventos o haceiendo un diagnose del ipsec.

saludos

[poitevin]

Muchas gracias por la pronta respuesta...de momento ya he creado las 2 address, una de la LAN privada de aqui y otra del otro extremo, y una politica para que se comuniquen ambas a traves de IPSec. Y efectivamente ahora cuando intento levantar manualmente el Tunel ya veo en los LOGs de eventos las negociaciones de Fase 1 y 2.

No termina de establecerse el tunel. AHora estoy viendo si cuadran las configuraciones en ambos extremos ( Dh Group, Encryption, Autentication, etc..) en cada una de las fases....Pero viendo los logs, se me ocurre una pregunta ¿Si la negociacion de la fase 1 falla, no entraria nunca en progreso de negociacion de la FAse 2? lo digo por que veo que negocia la FAse 1 ...y despues pasa a negociacion fase 2..para mas tarde darme "delete_phase1_sa". ¿Si entra en negociacion de fase 2, se puede entender que la fase 1 esta correcta?

[gabyrossi]

Hola, asi es.

deberias hacer un

# diagnose debug application ike -1
diagnose debug enable

y ver si te arrojo algunb otro error que pueda ayudarte.

saludos

[poitevin]

Hola de nuevo Gabyrossi y gracias de nuevo por la ayuda
De memento parece que voy avanzando y creo que mi problema se centra ahora en que la fase 2 se negocie con exito.
PArece que hay un problema de "IPsec DPD Failure".
Intentare pegarte el log en breve para que le eches un vistazo.

[poitevin]

Ok. Ya tengo levantado el tunel y negociado correctamente las dos fases.
Ahora tengo la duda de como crear la traduccion de direcciones, para que las peticiones desde mi LAN interna hacia direcciones de la LAN interna del otro lado (con la que no comparten rango de IP) vayan por el tunel creado acusando una IP concordante con el sitio.

Me explico. Mi LAN interna es p.ej 192.168.1.--- /24 y la del otro extremo del tunel 21.0.0.0 /8 .
Desde el otro extremo me asignan IP de entrada en el rango 21.200.1.128 / 27 para que yo las "reparta" en mi LAN estatica o dinamicamente.
¿como asigno en el Forti estas IP a las maquinas de mi LAN cuando quieran llegar a los server del otro extremo con la que no corparten rango? Se supone que con NAT?
pero en como fuerzo a que los NAT creados vayan por el tunel?

[gabyrossi]

Hola, revisa este link

[Debes identificarte para poder ver enlaces.]