Buenas,
Estoy teniendo problemas a la hora de intentar establecer un VPN desde una instalacion con IP dinamica con FORTI 60C hacia otra instalacion con PAN (Palo Alto Network) con IP Estatica.
He creado los objetos, la politicas y demas. Despues en VPN, he creado la fase uno y dos. Con su IP de entrada y de salida. El caso es que en el otro punto (PAN) si lo configuramos la VPn como que viene de una IP estatica, metiendole la que tenemos asignada en ese momento, lo negocia bien y se levanta el tunel sin problemas. Pero en el momento que le decimos que al PAN que es dinamica, ademas de la Pre-shared Key, nos pide un Peer Identification (para lo que nos da varias opciones FQDN, IP Adress, o Key ID.)...se supone que esto debe cuadrar con lo que configuremos en el Forti, y aqui es donde choco. Entiendo que el Peer Id en el forti es el que aparece cuando seleccionamos en la fase 1 , el modo Agresive ¿no? porque en el mode MAin...no se nos habilita la casilla Peer Options para meter una especifica....pues ahi ponemos la misma que en el PAN...y y no negocia. Despues pense que podria ser en las opciones Avanzadas de la fase 1 ..dentro de P1 proposal...dentro de la Local Id...pero tampoco funciona.
He hecho varias combinaciones pero, estoy dando palos de ciego. Dentro de las opciones del VPN del Forti, donde se deben indicar el peer ID?
Como informacion....en el IKE GAteway del PAN tenemos estas opciones, que he ido cambiando.
Como decia....si lo pongo en Estatico ....puedo dejar en las opciones avanzadas de la Phase 1, tanto el Local Id, como el Peer Id en NONE. Y el mode en MAin Y fucnciona.
Pero si lo paso a dinamico...EL modo no puede ser Main...tiene que ser agressive, y usar un Peer ID.( KEY/ FQDN/ IP Adress).
[Debes identificarte para poder ver enlaces.]
Y en el Forti, solo he cambiado ( de lo que funcionaba simulando una IP estatica), el mode a Agressive...y en la Peer ID no hay modo de seleccionar si es KEY, FDQN, o IP Adress que son las opciones del PAN. En el pantallazo aparece otra de las pruebas que hice dentro de las opciones P1 Proposal.
[Debes identificarte para poder ver enlaces.]
VPN de Forti (dinamica) a Palo Alto (estatica)
Re: VPN de Forti (dinamica) a Palo Alto (estatica)
hola, dodne dice accept this peer ID ->
en local id deberia ser otro...
lo ideal es que la vpn la armes en modo interface.
revisa la doc.
[Debes identificarte para poder ver enlaces.]
saludos.
en local id deberia ser otro...
lo ideal es que la vpn la armes en modo interface.
revisa la doc.
[Debes identificarte para poder ver enlaces.]
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN de Forti (dinamica) a Palo Alto (estatica)
Gracias, Gabyrossi por tu pronta respuesta..
Al final lo hemos resuelto...poniendo el forti en modo agressive.
En Peer Options: Accept any peer ID
Y en Advanced -->P1 Proposal --> Local ID: la misma que pusimo en el PAN ( Peer ID) en formato FQDN
En la Peer ID del PAN tuvimos que usar el formato FQDN, ya que con el formato Key ID o con IP Adress ...no hubo manera.
Debe ser que la opcion de Local ID del Forti en P1 Proposal, que no deja seleccionar formato alguno, debe ser por definicion del tipo FQDN.
Una ultima cuestion....porque me dices que es mejor el VPN en modo interface.
¿te refieres al caso de sites con Ip dinamica o en general cualquier VPN?
Al final lo hemos resuelto...poniendo el forti en modo agressive.
En Peer Options: Accept any peer ID
Y en Advanced -->P1 Proposal --> Local ID: la misma que pusimo en el PAN ( Peer ID) en formato FQDN
En la Peer ID del PAN tuvimos que usar el formato FQDN, ya que con el formato Key ID o con IP Adress ...no hubo manera.
Debe ser que la opcion de Local ID del Forti en P1 Proposal, que no deja seleccionar formato alguno, debe ser por definicion del tipo FQDN.
Una ultima cuestion....porque me dices que es mejor el VPN en modo interface.
¿te refieres al caso de sites con Ip dinamica o en general cualquier VPN?
Re: VPN de Forti (dinamica) a Palo Alto (estatica)
holal ok
es mejor hace vpn en modo interface ya que manejas politicas de ida y vueltas y tambien temas de ruteos cuando tenes mas de 1 wan y vpn redundantes.
saludos.
es mejor hace vpn en modo interface ya que manejas politicas de ida y vueltas y tambien temas de ruteos cuando tenes mas de 1 wan y vpn redundantes.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN de Forti (dinamica) a Palo Alto (estatica)
Gracias por la aclaracion...pero de momento no usaremos en esta instalacion mas que una WAN, y no creo que vaya a haber VPN redundantes.
Cambiarla a modo Interface si nos podria valer para las politicas de ida y vuelta...ya lo vere con mas tranquilidad.
Gracias de nuevo por aclaraciones.
Cambiarla a modo Interface si nos podria valer para las politicas de ida y vuelta...ya lo vere con mas tranquilidad.
Gracias de nuevo por aclaraciones.
Re: VPN de Forti (dinamica) a Palo Alto (estatica)
Gracias por la aclaracion...pero de momento no usaremos en esta instalacion mas que una WAN, y no creo que vaya a haber VPN redundantes.
Cambiarla a modo Interface si nos podria valer para las politicas de ida y vuelta...ya lo vere con mas tranquilidad.
Gracias de nuevo por aclaraciones.
Cambiarla a modo Interface si nos podria valer para las politicas de ida y vuelta...ya lo vere con mas tranquilidad.
Gracias de nuevo por aclaraciones.