Buenas. Tengo un equipo con los que me está dando la lata montar la VPN, la situación es la siguiente:
Central - Fortinet 110C (con Firmware v4.0,build0672,130904 (MR3 Patch 15)
Remoto - Fortinet 30B (con Firmware v4.0,build0672,130904 (MR3 Patch 15)
En ambos casos, a través de los log confirman que el túnel se levanta. Pero en monitor de la vpn no aparece como conectado.
Tuve un problema al actualizar firmware, por lo que tuve que formatearlo vía console e instalar el firmware de nuevo. Hecho esto, le restauré el config de otro Forti 30D con mismo firmware, para modificar el config vía interfaz y no hacerlo desde cero.
He configurado el FG 3 veces, incluso eliminando toda la configuración menos wan y gateway (es equipo gestionable en remoto) y lo máximo que consigo es que en el log aparezca "Link monitor: Interface externa was turned up" pero en monitor no se levanta el túnel. Si marco levantar el túnel me conecta sin problemas, pero no hay tráfico. He revisado (y configurado) el túnel 3 veces pero igual, cambiando la wan desde la que trazo el túnel pero lo mismo.
Sólo se me ocurre volver a formatearlo y hacerlo desde cero, por si el config del otro forti con mismo firmware diera problemas, pero al ser remoto lo tengo complicado para hacerlo de nuevo
Tunel sin levantar
Re: Tunel sin levantar
Hola, lo ideal en estos casos es hacer un debug de la vpn para ver mas en detalles cual es el error.
te dejo este link de ayuda
[Debes identificarte para poder ver enlaces.]
o revisa la doc de vpn ipsec.
saludos
te dejo este link de ayuda
[Debes identificarte para poder ver enlaces.]
o revisa la doc de vpn ipsec.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: Tunel sin levantar
En la VPN que comentaba no aparece nada, he modificado el host name xq como dije restauré un config de otro con mismo firmware pero sigue igual. Levanta en el log pero no en monitor. Tendre q pasarle el firmware de nuevo, pero lo tengo a 300 km. En otro pongo el resultado que me da
iagnose debug enable
FG100C3G0912005 # ike 0:EXTERNA:21444: port change 500 -> 4500
ike 0:EXTERNA:21444: ignoring unencrypted PAYLOAD-MALFORMED message from 77.xx.xx.xx:4500.
ike 0:EXTERNA:21444: ignoring unencrypted PAYLOAD-MALFORMED message from 77.xx.xx.xx:4500.
ike 0:EXTERNA:21444: ignoring unencrypted PAYLOAD-MALFORMED message from 77.xx.xx.xx:4500.
ike 0: no established IKE SA for exchange-type Informational from 77.xx.xx.xx:4500->218.xx.xx.xx 9 cookie a081253776c1cd33/861258c24a0de92e, drop
iagnose debug enable
FG100C3G0912005 # ike 0:EXTERNA:21444: port change 500 -> 4500
ike 0:EXTERNA:21444: ignoring unencrypted PAYLOAD-MALFORMED message from 77.xx.xx.xx:4500.
ike 0:EXTERNA:21444: ignoring unencrypted PAYLOAD-MALFORMED message from 77.xx.xx.xx:4500.
ike 0:EXTERNA:21444: ignoring unencrypted PAYLOAD-MALFORMED message from 77.xx.xx.xx:4500.
ike 0: no established IKE SA for exchange-type Informational from 77.xx.xx.xx:4500->218.xx.xx.xx 9 cookie a081253776c1cd33/861258c24a0de92e, drop