VPN Conflicto entre IPs Lan Internas (Overlapping)

[aportales]

Saludos amigos.

Estoy intentando realizar una comunicacion VPN hacia un proeedor de datos para un sistema de nuestra empresa, la red del proveedor ya tienen ocupado el segmento de IP 10.10.10.x en el que se encuentra mi Servidor que captura la informacion y que ya esta con otra VPN establecida con otro proveedor, por lo tanto no puedo cambiar el rango de la LAN del servidor.

Del otro extremo me sugirieron hacer un nateo del servidor interno, pero les soy sincero, no estoy muy claro de como se realiza esto, encontre un documento interesante llamado "FortiGate_IPSec_VPN_User_Guide", ahi se encuentra un termino (Overlapping) que segun entiendo es lo que necesito realizar, pero no estoy claro, en ese documento ambos extremos hacen el overlapping, pero yo solo necesito hacerlo de m lado, para que el proveedor pueda comunicarse con nuestro firewall y realizar la VPN.

EL esquema de red seria el siguiente:

Mi Servidor (10.10.10.110) ===> Switch ===> Fortigate 300C >>> INTENERNET <<< Cisco ASA5550 <=== Switch <=== Servidor Proveedor (172.24.3.163)

Es decir:

(Mi server: 10.10.10.110) (Puerto Interno: 10.10.10.x) <--190.106.x.x --FORTIGATE-- 201.247.x.x--> (Puerto Interno: 172.24.3.x) (Server Proveedor: 172.24.3.163)

esto deberia hacerlo con Ip Virtuales?

Les agradecere mucho me ayuden a entender que debo hacer, si algo no esta claro, favor indicarmelo y lo intento explicar mejor.

Gracias de antemano.

[gabyrossi]

Hola, el proveedor usa la 10.10.10.x pero no sera una red que se vaya a comunicar en la vpn.

podrias probar en la poilitica de vpn usar ip pool para que salga con otro rango de ip....

[aportales]

Muchas gracias por responder tan pronto, he intentado lo que me indicas, pero aun no se resuelve.

Adjunto las siguientes imagenes como una manera de entender mejor lo que he realizado. Perdon por las tachadas en rojo, pero no tengo permitido publicar nombres de las empresas, ni Ip Publicos (Por obvias razones). Espero lograr resolver con tu ayuda la conexion VPN.

El esquema de RED que quiero conectar:


Esta es la configuración que he realizado.

La VPN IPSEC: FASE 1


La VPN IPSEC: FASE 2


El Pool de IP, para salida:


La dirección del Servidor Interno y el de la Ubicacion remota:


La ruta Estatica para que se redirija:


Las 2 Politicas desde el Servidor_WS hacia el Servidor_Recarga:


Aca la politica de la IPSEC:



y finalmente la politica usando el Nateo con Ip Pool:


Muchas gracias por la ayuda que puedan darme. Exito!!!

[gabyrossi]

Hola, varias cosas

la vpn deberia ser modo interface
el source de la phase2 deberia ser el rango por el cual hacel pool ip y sera con la ip que lle llegues a ellos.

saludos

[aportales]

Hola, se ha logrado establecer la conexión, de hecho se pueden ver las 2 fases arriba, pero no pasa ningun trafico, osea no hay trafico de paquetes, ni los veo de mi lado, ni la persona del lado del Cisco. que podría estar pasando.

Saludos.

[gabyrossi]

hola, tenes mas de una wan en el fortigate?
la vpn la hiciste en modo policy, no?

saludos

[aportales]

Hola, poseo 2 WAN con distintos ISP.

Efectivamente es una VPN basada en politicas (Based-Policy).

En la sección de "Router" solamente tengo creado 2 Ruteos Estaticos (Static Route), en donde defino el Gateway de Cada LAN, esto es porque al incio me genero problemas, me refiero al hecho de manejar 2 ISP, Entiendo que tiene que ver con que 2 rutas estaticas con la misma distancia y misma prioridad, porque al momento de enrutar, el Fortigate no puede saber por cual se va a ir el trafico.

Para resolver eso consulte documentacion y entonces, le di al static route de la WAN2 una prioridad de 2 y el WAN1 la deje por defecto en 0. Luego defini una politica de Ruteo (Politic Route), en la cual defini que la LAN2 debe salir por el WAN2 y hacia el gateway2, dejando asi que la LAN1 por defecto salga por la WAN1 hacia el Gateway1 por el hecho de tener Prioridad 0.

Es posible que esto me este generando algun conflicto? Cabe mencionar que ya tengo una VPN funcionando correctamente por la WAN1 contra otro Cisco ASA 5520 de otro proveedor (Otra Empresa).

He creado la VPN tanto en Modo Interface, como en Modo Tunnel y he hecho pruebas alternandolas, lamentablemente no he podido enviar, ni recibir paquetes en ninguna de los 2 modos, pero en ambos levantan las 2 fases del tunnel.

[gabyrossi]

hola, si usas politicas de rureto es mejor que uses vpn en m,odo interface porque tendras que hacer una politica dre ruteo arriba de la actual para que el trafico hacia el destino salga por la vpn y no por la wan.

saludos

[aportales]

Saludos GabyRossi.

Elimine el dia de ayer toda la configuracion y probe desde cero creando las VPN en modo por politicas y aun asi no podia establecer la comunicacion.

Actualice el firmware de la version V4.0-build513 (MR3 Patch 5) a la v4.0-build0639,120906 (MR3 Patch 10) y como por arte de magia, logre hacer ping a los host internos del Cisco ASA de ambas VPN.

Estoy un poco confundido, pero contento, supongo que actualizo algo referente a esto.

Mil gracias por todo tu apoyo. Te admiro por esta enorme labor de ayudar a los necesitados. Exitos!!!

[gabyrossi]

Hola, jhaja bueno por ahi necesitaba un rebut

saludos

[aportales]

Hola, como estas.

solo para actualizar el tema y simplificarlo un poco para el que necesite de una configuracion similar.

Actualice la forma de Conectarme con esta VPN y lo deje Basado en Politicas.

Primero cree en Firewall Object > Address , los IP de los Host internos que se comunicaran en la VPN. El host de mi proveedor al que yo apunto es: 172.24.3.163
y mi host al que ellos apuntan es 192.100.35.10 (Este Host es fictisio, osea, no existe en realidad de forma fisica en mi red, su objetivo es unicamente para evitar el conflicto de Redes internas entre ambos lados mencionado en este POST mas arriba).

Mi host real, es decir, el que necesito que se comunique realmente en la VPN es 10.10.10.110, osea que debe haber un mapeo de 192.100.35.10 hacia 10.10.10.110 cuando viene a mi red el trafico y cuando sale tambien lo contrario, por lo que hay que marcar a la hora de crear la politica de firewall las casillas INBOUND NAT y OUTBOUND NAT.

Luego cree la VPN, pero no en modo interface. En donde en la phase2 mi host interno es el fictisio, es decir, 192.100.35.10.

En la Fase 2 de la VPN, estableci:

Código: Seleccionar todo

set use-nat-ip disable

Luego defino una politica de Firewall de la siguiente manera:

Código: Seleccionar todo

Source interface Zone:      Mi puerto interno donde esta mi Lan en rango 10.10.10.X
Source Address:             Mi Servidor (10.10.10.110)
Destination Interface/Zone: Puerto de salida hacia internet y donde la Phase1 esta definida.
Destination Address:        Servidor de mi Proveedor (172.24.163.3)
Schedule:                   always
Service:                    ANY
Action:                     IPSEC
Log Allowed Traffic:        Enable
VPN Tunnel:                 Nombre de la VPN creada
Allow inbound:              Enable
Allow outbound:             Enable
Inbound NAT:                Enable
Outbound NAT:               Enable

Luego desde la consola o terminal, debemos llegar hasta esta politica de firewall y definir una propiedad llamada NATIP, en donde NATIP sera el host fictisio (192.100.35.10).

Entramos a la politica desde la terminal:

Código: Seleccionar todo

config firewall policy

La politica tiene un ID:

Código: Seleccionar todo

edit (ID de la politica)

Asignamos el NatIP:

Código: Seleccionar todo

set natip 192.100.35.10 255.255.255.255

Santo remedio,

Saludos y muchas gracias por todo. Exito!!!