Hola comunidad fotigate, necesito su ayuda para resolver una problemática entretenida e interesante.
hay una VPN creada entre 2 sucursales, el encargado de administrar uno de estos 2 dispositivos se fue de vacaciones pero me dejo la contraseña y la ip del peer. pero no los métodos de encriptación, ni de la fase 1 ni de la fase 2.
me propuse a mi mismo intentar recrear la VPN con solamente esos 2 datos y en cierta manera lo estoy casi logrando a excepción de un punto en especifico.
cree una vpn con los datos por defecto y luego a través de consola utiliza los comandos.
diag debug appli ike 255 (o -1) para ver la propuesta que se realiza de la VPN, con ella pude ver el meto de encriptación, DH, life time, etc.
ike 0:vpn_DBZ:0: proposal id = 1:
ike 0:vpn_DBZ:0: protocol id = ISAKMP:
ike 0:vpn_DBZ:0: trans_id = KEY_IKE.
ike 0:vpn_DBZ:0: encapsulation = IKE/none
ike 0:vpn_DBZ:0: type=OAKLEY_ENCRYPT_ALG, val=3DES_CBC.
ike 0:vpn_DBZ:0: type=OAKLEY_HASH_ALG, val=SHA.
ike 0:vpn_DBZ:0: type=AUTH_METHOD, val=PRESHARED_KEY.
ike 0:vpn_DBZ:0: type=OAKLEY_GROUP, val=2048.
ike 0:vpn_DBZ:0: ISKAMP SA lifetime=28800
pero mi problema sigue en la fase 2 y aquí va el dilema.
¿¿Cual es la forma para ver la negociación de la FASE 2 solamente??, estudie todo lo que respecta al VPN troubleshooting pero no e encuentro ninguna forma de mostrar la propuesta de la fase 2 o quizá lo pase por alto.
Agradeciera vuestra ayuda y de ante mano muchas gracias.
VPN troubleshooting
Re: VPN troubleshooting
Hola, y no tenes acceso al otro equipo??? que marca es el otro equipo?
deberias revisar el doc de vpn para ver los comandos de diagnose.
saludos.
deberias revisar el doc de vpn para ver los comandos de diagnose.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN troubleshooting
es un FTG 110C.
lo revise, pero tendré que revisarlo de nuevo hasta encontrar una forma de lograrlo.
lo revise, pero tendré que revisarlo de nuevo hasta encontrar una forma de lograrlo.
Re: VPN troubleshooting
Revisa el comando de diagnose para ver error de vpn ipsec.
diagnose debug application ike -1
diagnose debug enable
saludos
diagnose debug application ike -1
diagnose debug enable
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN troubleshooting
gracias
gracias gaby, pero ta prove con eso.
el diag debug appli ike -1 es lo mismo que colocar
el diag debug appli ike 255...
imagino que debe haber una forma.... así que seguiré buscando, gracias.
gabyrossi escribió:Revisa el comando de diagnose para ver error de vpn ipsec.
diagnose debug application ike -1
diagnose debug enable
saludos
gracias gaby, pero ta prove con eso.
el diag debug appli ike -1 es lo mismo que colocar
el diag debug appli ike 255...
imagino que debe haber una forma.... así que seguiré buscando, gracias.
Re: VPN troubleshooting
hola, no entendi...
pudiste ver algo?
pudiste ver algo?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst