FortiAP 220B no es reconocido por el Fotigate

[emaciel]

Hola. Tengo el siguiente esenario

Controlador de WIFI : FG300C con v5.0,build0208 (GA Patch 3).
FortiAP-221B v5.0,build039,130531.

Algunos AP estan conetados al controlador por VPN y otros directamente al FG300C en modo interface. Tengo 6 en funcionamiento de la misma manera y con las mismas politicas de firewall y ruteo por lo que entiendo que poco importa si vienen por una VPN ya que el trafico se enruta en todos los casos de la misma manera. Los AP que vienen por una VPN estan configurados para que apunten a la IP del FG300C y este los reconoce y se los puede autorizar.



Los SSID se ven en todos los lugares, pero solo funciona la conexion en los AP que estan conectados directamente al FG300C. Los que vienen por la VPN no dan servicio aunque como dije se ve el SSID en el lugar. Ni siquiera llegan a levantar una IP desde el DHCP configurado en la interfaz (tengo distintos rangos de IP para cada AP). Incluso puedo hacer un escaneo de los rougue AP y desde todos los AP puedo ver datos.


Para el caso de los ap que no se conectan tengo el siguiente error en el log

Physical AP cocheria_goya
Parent Mesh SN N/A
Virtual Domain root
Level notice
Timestamp Thu Aug 15 19:13:18 2013
AP Profile resv-dflt-FP221B3X12012015
Mesh Mode non-mesh
Log ID 43522
Sub Type wireless
Reason Wait DTLS timer expired
Serial Number N/A
IP Address xxx-xxx-xxx-xxx
Action ap-fail
Date/Time 19:13:18 (Thu Aug 15 19:13:18 2013)
roll 65527
Message AP cocheria_goya failed.


Para el caso de los clientes que se quieren autenticar en los AP que transmiten SSID tengo el siguiente error

Virtual Domain root
IP Address 0.0.0.0
Physical AP cocheria_rcia
Group N/A
SSID previsora
Message Client f8:3d:ff:ec:2b:5f de-authenticated.
Virtual AP Previsora
roll 65527
Channel 0
Timestamp Thu Aug 15 07:51:01 2013
MAC f8:3d:ff:ec:2b:5f
User N/A
Band 802.11n
Level notice
Reason Previous authentication no longer valid
Log ID 43524
Sub Type wireless
Serial Number FP221B3X12012729
Action client-deauthentication
Security Mode wpa2-auto
Date/Time 07:51:01 (Thu Aug 15 07:51:01 2013)

Espero me puedan dar una mano y haber sido claro..... a veces es algo que tenemos tan metido dentro de la cabeza que resulta dificil de explicar con detalles.

Saludos

[gabyrossi]

hola, tenes 2 poblemas diferentes ? en disitntos lugares?

alguna ap funciona correctamente?
saludos.

[emaciel]

Hola. Gracias por responder.
Los AP que estan el la misma LAN del FG (aunque tengan distintos rangos de IP andan). No andan lo que estan llegando por una VPN. Tengo 5 en esa situacion.

Saludos

[gabyrossi]

hola, y los que estras por vpn ... cuando decis no andan que significa? no los ves en el fortigate?
tenes filtros port en la vpn?

saludos.

[emaciel]

El Fg los ve sin problemas. Se identifican dentro de los AP administrados, puedo actualizar el firm, reiniciarlos, todo lo que se puede hacer desde el FG. Ahora, hay uno de ellos que se identifica, pero despues de autorizarlo el check no queda en verde sino en gris. A los que quedan el check en verde, lo que hacen es no darles direccion DHCP a los clientes que se validan. No hay filtros de puertos en los tuneles de las vpn, no hay antivirus ni webfilter ni nada de eso, tampoco tengo prendido el NAT tampoco. Para evitar problemas de seguridad deje uno de los AP abiertos. El servidor DHCP esta prendido y funcionando.

Que mas puedo probar?

Gracias

[gabyrossi]

hola, revisa que en el equipo donde tenes conectado el ap tiene que hacer relay del dhcp hacia la vpn ...

saludos.

[emaciel]

Hola. Si activo el relay desaparece el DHCP que es especifico para esa interfaz. Yo tengo un servidor DHCP para cada una de las interfaces.

Saludos

[gabyrossi]

Hola, como?
vos tenes la sucursal.. donde tene un ap y lo controla un fortigate que esta en el otro extremo de la vpn.
es asi?
si es asi, el relya va a estar en ele quipo que NO controla el ap...

si no es asi.. no entiendo el caso.
tenes algun diagrama de red o dibujo de tu caso?

saludos.

[emaciel]

Hola. Es correcto. Tengo una sucursal donde tengo el AP que esta conectado al FG por una VPN. La VPN es una IPSEC por donde pasan los datos de la compañia. Con el AP pretendo darle una red de invitados a determinadas personas que estan en la sucursal. No quiero que el que entre por el SSID de invitados pueda ver la red de la compañia. Para esto, le doy un rango de IP distinto al de mi red tanto de la sucursal como de mi casa matriz a los que entran por el AP. Esto lo manejo con un DHCP que defino cuando armo el SSID para invitados

El AP esta conectado en modo tuner con el FG. El mismo FG300C es el que da direcciones por DHCP

Espero haber sido mas claro.

Saludos y gracias

[gabyrossi]

hola, a ver..
de un lado tenes un 300c y del otro lado donde tenes el ap que no logras hacer funcionar que equipo tenes?

saludos

[emaciel]

Hola. El AP es un FP221

[gabyrossi]

hoila, vamos dfe nuevo....

esquema de red:


PC's y FORTIAP ->switch -> fortigate -> INTERNET -> ............ VPN ............ -> ¿¿¿¿¿ EQUIPO QUE ARMA LA VPN??? -> SWITCH -> FORTIAP Y PC's

[emaciel]

El equipo que arma la vpn del otro lado es otro FG. Tengo varios modelos sueltos, 60C, 50B, 60B.

Saludos

[gabyrossi]

hola y porque queres controlar el ap desde el 300c y no desde aca fortigate que tengas del otro lado?
no me queda claro.

[emaciel]

Porque solo tengo licencias de antivirus y filtros web en el 300c. Los otros FG fueron quedando sin licencia. De esta manera tengo toda la administracion de 14 sucursales en 1 solo punto.
Saludos