VPN SITE TO SITE MODO INTERFACE

[Shin-Asmodeo]

Estimados.
Una consulta tengo configurada una VPN modo interface entre 2 fortigates un 300c(v4.0,build4227,120816 (MR3)) y un 60c(v4.0,build0632,120705 (MR3 Patch ), tengo configurada las siguientes redes.

300c
172.20.0.0/21

60c
172.22.32.0/21

Todo funciona ok, pero el detalle es que cuando hago un ping desde el 300c en Police Session Monitor veo que la petición fuente es de la Internal y el ping llega correctamente, pero cuando realizo lo mismo desde el 60c la petición es desde la interfaz WAN y no llega a la red, pero si lo hago desde los equipos conectados si llegan sin problemas a la red 172.20.0.0/21.

Gracias por sus respuestas.

[gabyrossi]

hola, tenes la ruta estatica en los 2 fortigate?

politicas correctas?

saludos.

[Shin-Asmodeo]

Claro, la ruta estática apuntando a la red de destino a través de la interface vpn en cada FW.

[gabyrossi]

hola

para hacer ping desde los fortigate tenes que pararte en la interface privada en cuestion.

execute ping-options source "ip_interface_interna"
execute ping "ip_red_remota"


saludos.

[vellito]

acabo de tener un problema similar y la solucion fue verifica la prioridad de las rutas estaticas o hacer politicas de ruteo.

[gabyrossi]

hola, si, siempre y cuando tenga 2 wan....

[amtex]

cambié uno de los fortigate de mi vpn y tengo el mismo inconveniente que comentan arriba. el nuevo fortigate tiene los mismos parametros que el anterior. la diferencia es que el anterior era un modelo B y tenia mr2 patch 4 y el nuevo es modelo C con mr3 patch 11.

si modifico "ping-options source" a la direccion de internal funciona bien, de lo contrario el fortigate se empeña en que la conexión se haga por wan2 aunque esten definidas la distancia y prioridad, al igual que la política de ruteo para la VPN.

desde las PC's de la red todo funciona bien. creo que lo voy a terminar dejando así.

[gabyrossi]

hola, no se entiende cual es el problema actual tuyo..

[amtex]

desde el fortigate si hago un ping a una ip de la red al otro lado de la vpn (por ejemplo 192.168.2.112) no funciona, porque segun veo en el monitor de sesiones intenta hacerlo por wan2. si antes cambio "ping-options source" para que salga como internal (192.168.4.1) todo bien, sale a través de la vpn.

como comentaba, no me afecta realmente porque los equipos a ambos lados de la vpn se comunican bien, el inconveniente sólo es en la consola de cualquiera de los dos fortigate.

[gabyrossi]

hola, es correcto, asi debes hacer el ping desde la consola.

saludos.

[MorfoMx]

Hola, yo tengo el mismo problema para poder comunicarme con redes diferentes al hacer ping o cualquier otro comando desde los fortigates. El problema de esto no es en sí el ping sino la comunicación para enviar logs al fortianalyzer, pues no se puede establecer la conexión. Lo del ping como ya lo mencionaron anteriormente, se soluciona usando el comando ping-options y seleccionando la ip de la interfaz o vlan, pero siguiendo persistente el problema de comunicación con los demás elementos de la red, tal como lo explica la persona que abrió el thread.

Desde el fortigate A no puedo acceder a ningún elemento de la red del fortigate B y desde el fortigate B no puedo acceder a ningún elemento de la red del fortigate A. Sin embargo la red A y B se comunican sin ningún problema.

Como muchos comentaron, ya están hechas las rutas estáticas y no quisiera meterme con políticas de ruteo, pues una vez haciendo una para toda comunicación se debe crear una política de ruteo y si resulta administrativamente más engorroso pues administro más de 15 sitios y solo tengo este problema en dos de ellos.

Espero que alguien sepa que pudiera ser, o si alguien ya lo resolvió sin usar políticas de ruteo.

De antemano gracias, saludos cordiales.

[gabyrossi]

hola, las policy routes tendrias que usarla, si ya estas usando para sacar trafico por internet, sino no es necesario.

saludos.

[sarietti]

Hola, tengo exactamente el mismo problema, alguien ya lo ha solucionado?

El resumen es:
VPN SiteToSite Interface Mode configurada y funcionando correctamente entre los sitios A y B.
Comunicacion entre los sitios A y B correcta.
Comunicacion entre el Forti del sitio A y la red B no se puede realizar, por lo que comentaban anteriormente de que por defecto quiere salir usando como source la interface de la wan y no la interface de la LAN.
Para hacer un ping se soluciona con el ping-options source, asignando la ip de la interface LAN ya se puede comunicar.

El problema es que necesito que el Fortigate se comunique para alcanzar un servidor SMTP.
Las rutas estaticas estan bien, el problema es la interface que elije como source para salir por la VPN, esto se puede solucionar con una policy route?
Como seria la configuracion de esa policy? Outgoing Interface supongo que es la de la LAN, pero la incoming interface cual seria? Si estamos hablando que el trafico lo genera el fortigate mismo.


Gracias.

[gabyrossi]

hola, ya estas usando policy route? o aunno?si no usas basta con usar rutas estaticas con disntancia en menor valor a el gw default a la wan.

saludos.

[sarietti]

hola, ya estas usando policy route? o aunno?si no usas basta con usar rutas estaticas con disntancia en menor valor a el gw default a la wan.

saludos.

Hola Gaby, no uso ninguna policy route, el problema no es la distancia de las rutas de estáticas, la ruta de la VPN site to site la utiliza bien debido a que es una ruta mas especifica que la de la wan.

El el ruteo esta bien, el problema es que el trafico lo realiza con source de la interface wan (Source IP es la IP de la WAN), entonces el trafico va pero no sabe volver debido a eso. Deberia salir con source IP la interface de la red lan remota.

Te paso un ejemplo con dos sniffer:

PING DESDE EL FORTI A UNA IP DEL OTRO EXTREMO DE LA VPN (NO FUNCIONA)

diagnose sniffer packet any 'dst host IP-DESTINO' 4 5
4.869736 VPN-INTERFACE out IP-PUBLICA -> IP-DESTINO: icmp: echo request

PING DESDE EL FORTI A UNA IP DEL OTRO EXTREMO DE LA VPN CON PING-OPTIONS SOURCE "IP-INTERFACE-LAN" (FUNCIONA)

diagnose sniffer packet any 'dst host IP-DESTINO' 4 5
16.332609 VPN-INTERFACE out IP-INTERFACE-LAN -> IP-DESTINO: icmp: echo request

Es evidente que el problema esta en la interface que elije para sacar el trafico, el tema es, como decide esto? como se puede configurar?

Esto pasa en un 60C, todos los dispositivos que estan del lado de la LAN obviamente no tienen problema porque salen por la interface de la lan sin NAT.
Al margen, te comento que del otro lado hay un 300C que no tiene este problema.