Problemas Con FORTICLIENT VPN IPSEC

[Humberto198669]

Muy buenos dias oajala que alguien pueda ayudarme tengo semanas tratando de configurar el forticlient en mi equipo. Por fin logre hacerlo ya me asigna IP al equipo con el forticlient; este navega por internet sin problemas pero no puedo hacerle ping ni conectarme a los equipos de mi red Local. En el firewall tengo las siguientes politicas no se si sera eso lo que me falla.

Politicas:
Port9 (ENLACE A MI IPS)
source address all
destination interface Client_VPN
destination address all
Action ACCEPT
Enable Identity Based Policy (AGREGO EL GRUPO DE X AUTHORITY)

Despues tengo la misma politica pero a la inversa del cliente VPN al ENLACE.

Cabe destacar que mi LAN esta en el Port1. direccion de la lan 192.168.1.0;
Direccion de la VPN FORTICLIENT 192.168.110.0.

El DHCP me asigna la ip y todo pero no conecta a la RED LAN muchas gracias con la ayuda que puedan brindarme. El fortigate es un 300C

[gabyrossi]

hola, la politica que mencionas no es necesarias.

deberias hacer una desde la interface vpn hacia tu red lan.

saludos

[Humberto198669]

Hola gabyrossi gracias por tu respuesta cree la politica y nada aun no puedo hacerle ping a los equipos de mi lan interna. aqui te paso la configuracion de todo para que observes donde podria estar la falla . Repito el forticlient agarra ip y todo por el DHCP pero no puedo llegarle a las pc internas te paso lo que hice :

CReate PHASE 1:
Name: ClientVPN
Local interface : Port9 (IPS)
Mode: Aggresive
Authentication Method: Preshared KEY.
Peer option Accept Any Peer ID
Enable Ipsec (HABILITADO)
Ike version 1
1- encryption 3DES Authentication:SHA1
2. endryption AES128 Authentication:SHA1
XAUTH ENABLE AS SERVER
Server Type PAP
User Group (El GRUPO CORRESPONDIENTE)
NAT TRAVERSAL ENABLE
DEAD PEER DETECTION ENABLE

AHora en la PHASE 2

Name: Client_VPN2
Phase1:Client_VPN

P2 proposal Encryption la misma que la fase 1
Auto Keep Alive ENABLE
DHPC IPSEC ENABLE
Quick Mode Selector todo en 0.0.0.0

Luego cree un DHCP SERVER EN la interface VPN
Interface NAME : CLIENT_VPN
Mode SERVER
Enable
IP 192.168.110.2-254
mask:255.255.255.0
Default Gateway: ( LA IP FIJA DE MI ISP) 200.32.9.12

Cree un addres 192.168.110.0 como usuarios VPN interface ANY.

Tambien tengo un static route 192.168.110.0 device CLIENT_VPN

En politicas la cambie por lo que me dijiste:
Source Interface: CLIENT VPN
Addres: Usuarios VPN
Destination INterface: LAN INTERNA
Address:LAN
schedule: ALWAYS
service ANY
action accept
Enable NAT
Enable Identity Based Policy
AGREGO EL GRUPO .
Y listo.

Eso es todo lo que he hecho y el FOrticlient me responde y agarra direccion IP pero no llego a la red LAN. Creo que debe ser error en politicas o problemas con la ruta. Agradezco tu ayuda

Saludos...

[gabyrossi]

hola, la politica no es autenticada... es una politica normal con accion aceptar.

revisa la documentacion

[Debes identificarte para poder ver enlaces.]

saludos

[Humberto198669]

Hola gaby muchas gracias por tu respuesta efectivamente tenia problemas con las politicas de la VPN. Pero ahora tengo otra consulta, el consumo de CPU en mi fortigate 300c es super alto se mantiene entre 95 y 99% ( la memoria se mantiene en 55 0 45 %) que puedo hacer para bajar este consumo la versión del firmware es v4.0,build0511,120110 (MR3 Patch 4) muchas gracias en lo que puedas ayudarme.

Saludos...

[gabyrossi]

Hola, primero no loguees en disco...(po default viene habilitado).

revisa estos links:

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]
saludos

[Humberto198669]

Hola gaby rossi muchas gracias por tu ayuda el uso del cpu bajo con lo que me dijistes pero aun esta muy alto. utilice el comando diag sys top y me arrojo que el servicio httpsd 7990 R N 97.4 0.7, lo que quiere decir que este proceso me esta ocupando el 97.4 % de la memoria sabra spor casualidad que proceso es este y como puedo solucionar esto? Muchas gracias... Cabe acotar que los demas procesos sus consumos son normales que si 0.8, 0.2, este es el unico que esta por las nubes

[Humberto198669]

aqui te pongo la descripcion completa que arrojo el debug por si te sirve de algo para ayudarme. Muchas gracias.
Run Time: 77 days, 13 hours and 2 minutes

15U, 84S, 1I; 2020T, 879F, 209KF

httpsd 7990 R N 89.8 0.7

httpsd 23412 S 2.6 1.4

httpsd 24321 S 2.0 1.4

httpsd 19632 S 1.4 0.7

httpsd 19760 S 1.2 0.7

httpsd 19762 S 1.2 0.7

ipsengine 75 S < 0.8 7.4

proxyworker 68 S 0.4 4.7

scanunitd 21261 S < 0.4 1.0

httpsd 19690 S 0.2 0.7

forticron 78 S 0.0 6.3

urlfilter 79 S 0.0 2.8

cmdbsvr 42 S 0.0 1.5

cw_acd 105 S 0.0 1.0

scanunitd 21262 S < 0.0 0.9

miglogd 18859 S 0.0 0.7

fgfmd 103 S 0.0 0.6

newcli 19743 R 0.0 0.6

newcli 17327 S 0.0 0.6

httpsd 19763 S 0.0 0.6

Run Time: 77 days, 13 hours and 2 minutes

0U, 99S, 1I; 2020T, 879F, 209KF

httpsd 7990 R N 99.4 0.7

proxyworker 68 S 0.4 4.7

ipsengine 75 S < 0.2 7.4

forticron 78 S 0.0 6.3

urlfilter 79 S 0.0 2.8

cmdbsvr 42 S 0.0 1.5

httpsd 24321 S 0.0 1.4

httpsd 23412 S 0.0 1.4

scanunitd 21261 S < 0.0 1.0

cw_acd 105 S 0.0 1.0

scanunitd 21262 S < 0.0 0.9

httpsd 19690 S 0.0 0.7

httpsd 19632 S 0.0 0.7

httpsd 19760 S 0.0 0.7

httpsd 19762 S 0.0 0.7

miglogd 18859 S 0.0 0.7

fgfmd 103 S 0.0 0.6

newcli 19743 R 0.0 0.6

newcli 17327 S 0.0 0.6

httpsd 19763 S 0.0 0.6

[gabyrossi]

Hola, revisa si hay varios usuarios admin logueados en el equipo. trata de eliminarlos...

saludos

[Humberto198669]

Hola gaby ya resolvi gracias por tu ayuda lo que hice fue utilizar el comando diagnose sys kill 11 7990 para eliminar el proceso y listo el consumo del cpu me llegó al 3 % ahora estoy monitoreando el enlace del ISP ya que estoy teniendo mucho trafico entrante y estoy buscando a los responsables jejejeje

saludos. y muchas gracias

[Humberto198669]

Gaby una consulta tu que estas mas metida en esto jejejejeje actualmente tengo mis euqipos fortigates 2 60c y 1 300c todos con la v4 Mr3 patch 9. Por lo que vi en la pagina ya esta disponible la v5 para estos fortigate sera bueno que realice la actualizacion a la v5 ó mejor los llevo al patch 10 que es la versión mas reciente del v4 ?

[gabyrossi]

Hola, si no tenes ningun requerimeitno que necesitas usar v5 por ahora dejalo asi como estas.
Es una version muy reciente y si todo tenees funcionando no necesitas por ahora actualziarlo.

saludos

[Humberto198669]

Hola Buenas sabes que hoy tuve un problemita el cpu se me fue a las nubes otra vez por el servicio miglogd lo baje utilizando el comando sys kill pero ahora al entrar en logs siempre esta en blanco me dice no entry found . A ver si puedes ayudarme con algo. Saludos....

[ELias Prado]

Hola Gaby, de antemano muchas gracias por tu ayuda. Yo tengo configurado mi VPN IPSec en un FORTINET 40C, tengo tres PCs fuera de la empresa que se conectan por la VPN con forticlient version 4.1.2 y solamente dejándose activado la opción VPN IPSEC.
El problema es que pasado un mes o unas semanas de la instalacion, los equipos dejan de conectarse a la VPN, al parecer una desconfiguracion de los servicios del Forticlient de la nada o un daño en el FortiClient causa que ya no se pueda conectar a la VPN, el estado de la conexion me sale Idle. Por el momento, la solución que tengo que darle es desinstalar el Forticlient y volverlo a instalar, pero creo que no deberia de ser asi, porque son varias ocasiones que tengo que hacer esto en varios equipos, a pesar que reinicio los servicios de forticlient. Por favor Gaby agradecere indicarme si esto es normal o qué tengo que configurar acicionalmente al FortiClient para que no se dañe el programa en las PCs.

Saludos,
Elias

[gabyrossi]

hola, proba de instalar el forticlient 4.0 mr2 ultimo paytch es uno de los mas estables...
lo bajas desde el support.fortinet.com donde estan los firmware.

saludos.