Fortigate 60B vs 60c VPN no levanta

[rfernandez_mx]

Saludos listeros!!

pues a ver antes de nada, les mando un saludo, pues bien como dice el topic, tenemos un problema porque estamos interconectando dos vpn's con dos equipos (un fortinet 60b que teniamos trabajando la mar de bien contra un openswan) y ahora, al cambiarnos de corporativo nos estan haciendo conectarnos a un fortigate 60C.

el problema real es que ya configuramos 3 veces el tunel (se va por politica de firewall) y siempre sale el mismo error:

0: no phase1 configuration matching 189.135.60.161:500->189.242.192.124 13
0:VPN-Soni: link fail 13 189.242.192.124->189.242.157.168:500 dpd=2
0:VPN-Soni: DPD fail 13 189.242.192.124->189.242.157.168:500 send failure, resetting ...
0:VPN-Soni: deleting
0:VPN-Soni: flushing
0:VPN-Soni: flushed
0:VPN-Soni: deleted
0:VPN-Soni: sending DNS request for remote peer cobamasica.kicks-ass.org
0:VPN-Soni: created DPD triggered connection: 0x8c46d40 13 189.242.192.124->189.242.157.168:500.
0:VPN-Soni: new connection.
0:VPN-Soni:7684: initiator: aggressive mode is sending 1st message...
0:VPN-Soni:7684: cookie b4c3f1ec4ff15fd8/0000000000000000
0:VPN-Soni:7684: sent IKE msg (agg_i1send): 189.242.192.124:500->189.242.157.168:500, len=552
VPN-Soni: Initiator: sent 189.242.157.168 aggressive mode message #1 (OK)
0: DNS response received for remote gateway cobamasica.kicks-ass.org
cobamasica.kicks-ass.org: 189.242.157.168
0:VPN-Soni: cobamasica.kicks-ass.org resolved to 189.242.157.168

0:VPN-Soni:7684: sent IKE msg (P1_RETRANSMIT): 189.242.192.124:500->189.242.157.168:500, len=552
shrank heap by 122880 bytes
0:VPN-Soni: link fail 13 189.242.192.124->189.242.157.168:500 dpd=2
0:VPN-Soni: ignore link fail, too old
0:VPN-Soni:7684: sent IKE msg (P1_RETRANSMIT): 189.242.192.124:500->189.242.157.168:500, len=552
shrank heap by 122880 bytes
0:VPN-Soni: link fail 13 189.242.192.124->189.242.157.168:500 dpd=2
0:VPN-Soni: ignore link fail, too old
0:VPN-Soni:7684: sent IKE msg (P1_RETRANSMIT): 189.242.192.124:500->189.242.157.168:500, len=552
0:VPN-Soni: link fail 13 189.242.192.124->189.242.157.168:500 dpd=2
0:VPN-Soni: ignore link fail, too old
0: comes 189.135.60.161:500->189.242.192.124:500,ifindex=13....
0: exchange=Aggressive id=b4479e8ad2b8cdc3/0000000000000000 len=472
0: no phase1 configuration matching 189.135.60.161:500->189.242.192.124 13


y obvio de ahi no salimos...... aparte de configuraciones para que no se "queme mi vista" puse dos screenshots de la ultima configuracion que dejé en ambos puntos, a ve si alguien me ayuda a ver el error?
aqui les dejo los screenshots

[Debes identificarte para poder ver enlaces.]

saludos cordiales y muy agradecido!!

[gabyrossi]

hola, al hacerlo en modo agresivo, trata de colocal local id y rmeote id.
tambien en la phase2 , en un fortigate seteas la red (10.0.254.0/24) en el otro hace lo mismo. No agreges el objeto. coloca la red.

saludos.

[rfernandez_mx]

hola!! mira, hice lo que me pediste pero seguimos igual sigue diciendo el fortinet:

Negotiate SA Error: No matching gateway for new phase 1 request.


¿que mas podrá ser?

[gabyrossi]

de un equipo al otro, resuelve bien el nombre del ddns???

[rfernandez_mx]

sip si la resolucion de nombres esta correcta

[panlactal]

Estimados,

el error
"189.242.192.124->189.242.157.168:500 dpd=2
0:VPN-Soni: ignore link fail, too old"

no es debido a que el par ipsec no está alcanzable o bloqueado el puerto 500??

[gabyrossi]

hola, si podria ser... como son 2 ddns podria ser qe no resolvieran bien..