Error VPN "Received ESP packet with unknown SPI "

[farolito]

Hola a tod@s. He creado en dos ocasiones un túnel para conectar con un equipo remoto y las dos veces no termina de levantar el túnel, dando el siguiente mensaje de Error: Received ESP packet with unknown SPI. En Status aparece Status esp_error, ¿sabéis a qué puede deberse? Ya tengo varios túneles en el mismo fortinet (110C) y hasta ahora no me había dado problema para levantar la VPN.

[iescudero]

Buenas! comparaste los SA de cada lado para saber si estan iguales? el tunel en que modo esta armado?

Saludos!

[farolito]

Buenas. Hemos comparado los parámetros y están iguales. El otro equipo es un sonicwall, y el túnel un site to site, de hecho tengo otro túnel con un sonicwall funcionando correctamente, sólo cambia la wan de salida (tenemos dos ip´s públicas), la interna (lo establecemos con la red de la Secondary IP Address), los parámetros y la preshared key. No debería darnos ese problema pero veo que después de montar dos veces el túnel el error que nos aparece es el mismo: "Received ESP packet with unknown SPI "

[farolito]

Buenas, se ha resuelto y levantado el túnel. Para el que le pase: como tenemos otro equipo sonicwall con el túnel levantado, hemos puesto la misma configuración en el otro equipo, con dh group 5, y pfs habilitado

Me surge ahora un problema, que mis conocimentos no me llegan a resolver, a ver si podéis ayudarme:

Tenemos una red remota (ej. 172.18.21.0) y una local con el fortinet (ej.172.168.4.0), y otro túnel desde la local hacia la (ej.172.168.20.0) y quiero que pueda atacar directamente un equipo del rango remoto 172.18.21.0 a uno de la 172.168.20.0 ¿Cómo podría hacerlo?

[farolito]

Amplío la info por si no me he explicado bien

Quiero que desde un equipo de la red remota 172.18.21.0 se acceda a la 172.168.20.0, que tienen en común un túnel con el fortinet pero lógicamente no tienen un túnel entre ellos y no los gestiono, ¿habría forma?

[gabyrossi]

Hola, tenes que configurar otra phase2 en el tunel de la red 21.x con la 4.x de tal manera que vea la red 20.

Lo mismo en el tunel de la red 4 y 20 que vean la red 21
saludos.

[farolito]

Gracias por la respuesta Gabyrossi, pero no puedo hacerlo así ya que los firewalls no los manejo yo (ni pueden modificarse), aparte son sonicwall. ¿No se puede hacer un nateo por ejemplo para que cuando se ataque desde un equipo de la red de la VPN "A" hacia una ip concreta del rango local del fortinet se redirija el tráfico hacia una ip de la VPN "B"?

[gabyrossi]

hola, mmmm proba nateando todas las politicas de vpn .. y ruteando las redes