FortiAP 220B no es reconocido por el Fotigate
FortiAP 220B no es reconocido por el Fotigate
Hola. Tengo el siguiente esenario
Controlador de WIFI : FG300C con v5.0,build0208 (GA Patch 3).
FortiAP-221B v5.0,build039,130531.
Algunos AP estan conetados al controlador por VPN y otros directamente al FG300C en modo interface. Tengo 6 en funcionamiento de la misma manera y con las mismas politicas de firewall y ruteo por lo que entiendo que poco importa si vienen por una VPN ya que el trafico se enruta en todos los casos de la misma manera. Los AP que vienen por una VPN estan configurados para que apunten a la IP del FG300C y este los reconoce y se los puede autorizar.
Los SSID se ven en todos los lugares, pero solo funciona la conexion en los AP que estan conectados directamente al FG300C. Los que vienen por la VPN no dan servicio aunque como dije se ve el SSID en el lugar. Ni siquiera llegan a levantar una IP desde el DHCP configurado en la interfaz (tengo distintos rangos de IP para cada AP). Incluso puedo hacer un escaneo de los rougue AP y desde todos los AP puedo ver datos.
Para el caso de los ap que no se conectan tengo el siguiente error en el log
Physical AP cocheria_goya
Parent Mesh SN N/A
Virtual Domain root
Level notice
Timestamp Thu Aug 15 19:13:18 2013
AP Profile resv-dflt-FP221B3X12012015
Mesh Mode non-mesh
Log ID 43522
Sub Type wireless
Reason Wait DTLS timer expired
Serial Number N/A
IP Address xxx-xxx-xxx-xxx
Action ap-fail
Date/Time 19:13:18 (Thu Aug 15 19:13:18 2013)
roll 65527
Message AP cocheria_goya failed.
Para el caso de los clientes que se quieren autenticar en los AP que transmiten SSID tengo el siguiente error
Virtual Domain root
IP Address 0.0.0.0
Physical AP cocheria_rcia
Group N/A
SSID previsora
Message Client f8:3d:ff:ec:2b:5f de-authenticated.
Virtual AP Previsora
roll 65527
Channel 0
Timestamp Thu Aug 15 07:51:01 2013
MAC f8:3d:ff:ec:2b:5f
User N/A
Band 802.11n
Level notice
Reason Previous authentication no longer valid
Log ID 43524
Sub Type wireless
Serial Number FP221B3X12012729
Action client-deauthentication
Security Mode wpa2-auto
Date/Time 07:51:01 (Thu Aug 15 07:51:01 2013)
Espero me puedan dar una mano y haber sido claro..... a veces es algo que tenemos tan metido dentro de la cabeza que resulta dificil de explicar con detalles.
Saludos
Controlador de WIFI : FG300C con v5.0,build0208 (GA Patch 3).
FortiAP-221B v5.0,build039,130531.
Algunos AP estan conetados al controlador por VPN y otros directamente al FG300C en modo interface. Tengo 6 en funcionamiento de la misma manera y con las mismas politicas de firewall y ruteo por lo que entiendo que poco importa si vienen por una VPN ya que el trafico se enruta en todos los casos de la misma manera. Los AP que vienen por una VPN estan configurados para que apunten a la IP del FG300C y este los reconoce y se los puede autorizar.
Los SSID se ven en todos los lugares, pero solo funciona la conexion en los AP que estan conectados directamente al FG300C. Los que vienen por la VPN no dan servicio aunque como dije se ve el SSID en el lugar. Ni siquiera llegan a levantar una IP desde el DHCP configurado en la interfaz (tengo distintos rangos de IP para cada AP). Incluso puedo hacer un escaneo de los rougue AP y desde todos los AP puedo ver datos.
Para el caso de los ap que no se conectan tengo el siguiente error en el log
Physical AP cocheria_goya
Parent Mesh SN N/A
Virtual Domain root
Level notice
Timestamp Thu Aug 15 19:13:18 2013
AP Profile resv-dflt-FP221B3X12012015
Mesh Mode non-mesh
Log ID 43522
Sub Type wireless
Reason Wait DTLS timer expired
Serial Number N/A
IP Address xxx-xxx-xxx-xxx
Action ap-fail
Date/Time 19:13:18 (Thu Aug 15 19:13:18 2013)
roll 65527
Message AP cocheria_goya failed.
Para el caso de los clientes que se quieren autenticar en los AP que transmiten SSID tengo el siguiente error
Virtual Domain root
IP Address 0.0.0.0
Physical AP cocheria_rcia
Group N/A
SSID previsora
Message Client f8:3d:ff:ec:2b:5f de-authenticated.
Virtual AP Previsora
roll 65527
Channel 0
Timestamp Thu Aug 15 07:51:01 2013
MAC f8:3d:ff:ec:2b:5f
User N/A
Band 802.11n
Level notice
Reason Previous authentication no longer valid
Log ID 43524
Sub Type wireless
Serial Number FP221B3X12012729
Action client-deauthentication
Security Mode wpa2-auto
Date/Time 07:51:01 (Thu Aug 15 07:51:01 2013)
Espero me puedan dar una mano y haber sido claro..... a veces es algo que tenemos tan metido dentro de la cabeza que resulta dificil de explicar con detalles.
Saludos
Re: FortiAP 220B no es reconocido por el Fotigate
hola, tenes 2 poblemas diferentes ? en disitntos lugares?
alguna ap funciona correctamente?
saludos.
alguna ap funciona correctamente?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiAP 220B no es reconocido por el Fotigate
Hola. Gracias por responder.
Los AP que estan el la misma LAN del FG (aunque tengan distintos rangos de IP andan). No andan lo que estan llegando por una VPN. Tengo 5 en esa situacion.
Saludos
Los AP que estan el la misma LAN del FG (aunque tengan distintos rangos de IP andan). No andan lo que estan llegando por una VPN. Tengo 5 en esa situacion.
Saludos
Re: FortiAP 220B no es reconocido por el Fotigate
hola, y los que estras por vpn ... cuando decis no andan que significa? no los ves en el fortigate?
tenes filtros port en la vpn?
saludos.
tenes filtros port en la vpn?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiAP 220B no es reconocido por el Fotigate
El Fg los ve sin problemas. Se identifican dentro de los AP administrados, puedo actualizar el firm, reiniciarlos, todo lo que se puede hacer desde el FG. Ahora, hay uno de ellos que se identifica, pero despues de autorizarlo el check no queda en verde sino en gris. A los que quedan el check en verde, lo que hacen es no darles direccion DHCP a los clientes que se validan. No hay filtros de puertos en los tuneles de las vpn, no hay antivirus ni webfilter ni nada de eso, tampoco tengo prendido el NAT tampoco. Para evitar problemas de seguridad deje uno de los AP abiertos. El servidor DHCP esta prendido y funcionando.
Que mas puedo probar?
Gracias
Que mas puedo probar?
Gracias
Re: FortiAP 220B no es reconocido por el Fotigate
hola, revisa que en el equipo donde tenes conectado el ap tiene que hacer relay del dhcp hacia la vpn ...
saludos.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiAP 220B no es reconocido por el Fotigate
Hola. Si activo el relay desaparece el DHCP que es especifico para esa interfaz. Yo tengo un servidor DHCP para cada una de las interfaces.
Saludos
Saludos
Re: FortiAP 220B no es reconocido por el Fotigate
Hola, como?
vos tenes la sucursal.. donde tene un ap y lo controla un fortigate que esta en el otro extremo de la vpn.
es asi?
si es asi, el relya va a estar en ele quipo que NO controla el ap...
si no es asi.. no entiendo el caso.
tenes algun diagrama de red o dibujo de tu caso?
saludos.
vos tenes la sucursal.. donde tene un ap y lo controla un fortigate que esta en el otro extremo de la vpn.
es asi?
si es asi, el relya va a estar en ele quipo que NO controla el ap...
si no es asi.. no entiendo el caso.
tenes algun diagrama de red o dibujo de tu caso?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiAP 220B no es reconocido por el Fotigate
Hola. Es correcto. Tengo una sucursal donde tengo el AP que esta conectado al FG por una VPN. La VPN es una IPSEC por donde pasan los datos de la compañia. Con el AP pretendo darle una red de invitados a determinadas personas que estan en la sucursal. No quiero que el que entre por el SSID de invitados pueda ver la red de la compañia. Para esto, le doy un rango de IP distinto al de mi red tanto de la sucursal como de mi casa matriz a los que entran por el AP. Esto lo manejo con un DHCP que defino cuando armo el SSID para invitados
El AP esta conectado en modo tuner con el FG. El mismo FG300C es el que da direcciones por DHCP
Espero haber sido mas claro.
Saludos y gracias
El AP esta conectado en modo tuner con el FG. El mismo FG300C es el que da direcciones por DHCP
Espero haber sido mas claro.
Saludos y gracias
Re: FortiAP 220B no es reconocido por el Fotigate
hola, a ver..
de un lado tenes un 300c y del otro lado donde tenes el ap que no logras hacer funcionar que equipo tenes?
saludos
de un lado tenes un 300c y del otro lado donde tenes el ap que no logras hacer funcionar que equipo tenes?
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiAP 220B no es reconocido por el Fotigate
Hola. El AP es un FP221
Re: FortiAP 220B no es reconocido por el Fotigate
hoila, vamos dfe nuevo....
esquema de red:
PC's y FORTIAP ->switch -> fortigate -> INTERNET -> ............ VPN ............ -> ¿¿¿¿¿ EQUIPO QUE ARMA LA VPN??? -> SWITCH -> FORTIAP Y PC's
esquema de red:
PC's y FORTIAP ->switch -> fortigate -> INTERNET -> ............ VPN ............ -> ¿¿¿¿¿ EQUIPO QUE ARMA LA VPN??? -> SWITCH -> FORTIAP Y PC's
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiAP 220B no es reconocido por el Fotigate
El equipo que arma la vpn del otro lado es otro FG. Tengo varios modelos sueltos, 60C, 50B, 60B.
Saludos
Saludos
Re: FortiAP 220B no es reconocido por el Fotigate
hola y porque queres controlar el ap desde el 300c y no desde aca fortigate que tengas del otro lado?
no me queda claro.
no me queda claro.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: FortiAP 220B no es reconocido por el Fotigate
Porque solo tengo licencias de antivirus y filtros web en el 300c. Los otros FG fueron quedando sin licencia. De esta manera tengo toda la administracion de 14 sucursales en 1 solo punto.
Saludos
Saludos