VPN's fuera de servicio

[resorte]

Hola
Tengo un problema con mi Fortigate100
Configure dos VPN's en el equipo y del otro lado se conectan a equipos conmutadores telefonicos que soportan VPN con IPSec, configure tanto en el Fortigate como en los conmutadores, las VPN's se establecen sin problema, y puedo ver los equipos del otro lado, incluso hacer llamadas con VoIP del conmutador local al remoto.

Mi problema es que despues de un rato las VPN's se ponen fuera de servicio, y se vuelven activar solo cuando hay trafico; en el caso de la transferencia de datos no me afecta mucho, pero en el caso de la VoIP si, porque al primer intento de marcar a uno de los sitios remotos me da un error, tengo que esperar a que levante para poder marcar.
Cuando configure las VPN's habilite la opcion de DEAD PEER DETECTION en Phase 1, tambien tengo habilitada la opcion AUTOKEY KEEP ALIVE, pero siguen poniendose fuera de servicio. Saben de algo mas que tenga que configurar?

Por cierto la version de mi firmware es 3.00-b0572(MR5 Patch 4)

Saludos!!!

[gabyrossi]

Hola, como estas? te paso esto, que es para que levante la vpn sola

Mira por consola carga este comando en la phase 2

set Auto-negotiate enable



si tenes la vpn de modo interface sera:
config vpn ipsec phase2-interface
edit "nombre de vpn_phase2"
set auto negotiate enable
end

si tenes ña vpn en modo politica (encript)
sera config vpn ipsec phase2
lo mismo que lo anterior.

saludos
Gabriel

[resorte]

Hola Gabriel ... muchas gracias por tu respuesta, ya aplique los comandos que mencionas y funciona mucho mejor ya se mantiene activa la vpn solas, sin embargo me doy cuenta que al menos cada 30 seg se desactiva y 5 seg despues se vuelven a activar sin necesidad de levantarlas o pasar trafico por ellas; estos es mucho mejor que como estaban.

Hay manera de evitar completamente que se desactive (cada 30 seg) ó reducir el tiempo en el que se vuelven a activar(menos de 5 seg)?

Gracias!

[gabyrossi]

Hola, como estas? ya vamos mejorando ja.
lo que podrias hacer tambien es cambiar el Keylife de la phase1 y el de la 2.
Esto lo tedras qiue hacer de los 2 lados.

saludos
Gabriel

[resorte]

Hola Gabriel

Ya modifique el keylife, tanto en el Fortigate como en el equipo conmutador del otro lado ... he puesto diferentes valores de keylife, desde el menor permitido, hasta el mayor .. pasando por varios intermedios (he puesto los mismos valores en los dos lados), y las he estado monitoreando. Pero sigue pasando lo mismo, despues de unos segundos (30 seg aprox) se pone en down, y despues de unos 5 seg vuelve a up.
Que mas se podria hacer?

Saludos!

[gabyrossi]

hola,como estas? tenes varias vpn ? o solo esa????

saludos

[resorte]

Son 3 VPN's hacia 3 sitios remotos, los sitios remotos tambien se comunican entre ellos pero con vpn's configuradas en sus equipos directamente, no atraves del fortinet, que creo es lo que se llama hub-and-spoke.

Saludos!

[gabyrossi]

Hola, como estas? Si. ok, ahora entendi. Esas 3 vpn a sitios remotos tienen diferentes Pre-shared Key ??? Y en los remotos el Pre-shared Key es diferente para cada vpn?


saludos
Gabriel

[resorte]

Hola Gabriel,
Pues de las 3 VPN's que tengo aqui, 2 si tienen el mismo Preshare key, el otro es distinto; y de las Preshare key de los sitios remotos para la comunicacion entre ellos, no estoy muy seguro ya que yo no las configure.
Crees que sea necesario poner el mismo preshare key en las 3 VPN's que tengo aqui, y las VPN's de los sitios remotos para comuniacion entre ellos?
Saludos!

[gabyrossi]

Hola, como estas? Nunca deben ser iguales el Pre-shared Key entre 2 vpn distintas.
siempre un mismo Pre-shared Key para la misma vpn.

consolida eso.

saludos
Gabriel

[resorte]

Hola Gabriel, aqui dando molestias todavia ...

Pues despues de varios dias de insistir para modificar las pre-sharekey ya se hizo, en mi Fortigate tengo 3 vpn's a 3 sitios remotos distintos ... ya cada VPN tiene su propio preshare key distintos uno de otro, y el resultado es el mismo, despues de varios segundos la VPN se cae y despues se vuelve a levantar.
Todos los valores de keylife, tanto en fase 1 como en fase 2, en todas las vpn's tiene el valor 3600. Lo que veo es que de repente se pone en 0 ,el valor del timeout en el tab "Monitor" se levanta la vpn y se vuelve a inciar, y asi se la pasa.

En el log aparece este error.

Level Action Message
error dpd IPsec connection failure on the tunnel to 189.135.xx.xx:500

el mismo error para las otras vpns'. Que mas se podra hacer?

Saludos!

[gabyrossi]

hola, ok, fijate si en todis los extremos de klas vpn en la phase1 tienen tildados Dead Peer Detection.

saludos

[gabyrossi]

hola, ok, fijate si en todis los extremos de klas vpn en la phase1 tienen tildados Dead Peer Detection.

saludos

[resorte]

Pues revisando las configuraciones de las vpn's en los equipos remotos (conmutadores Alcatel) no viene la opcion de Dead peer detection, asi que opte por mejor remover tambien la opcion del Fortigate, y funciono ya no se caen, consumen todo su timeout y vuelve a empezar el conteo si darse de baja, espero que deshabilitar esa opcion sea correcto.

muchas gracias!

[gabyrossi]

Hola, como estas' esa era la idea chequear eso, y si no lo tenian...sacarlo.

muy bien

suerte

saludos
Gabriel