Vpn entre Fortigate y Sonicwall (Ip Dinamica)

[pedroh]

Hola buen dìa.

Quisiera ver si me pueden apoyar con este problema.

Tengo un fortinet 300c el cual tiene IP Fija y quiero hacer una VPN con un sonicwall el cual tiene como gateway IP dinàmica.

la configuracion del fortinet la he realizado tanto en aggressive mode como en main y no logro levantarla.

Cabe señalar que desde el sonicwall me dice que si se genera la vpn pero no se habilita y eneel fortinet me aparece en monitor de VPN, pero no me aparace el bring up.

Mi configuracion del forti es la siguiente:

name: test
remote gateway: dial up
local interface: wan
mode: agressive
aunthentication method: aggressive
pre-shared key: test

accept any peer id
enable ipsec interface mode
IKE 1
Local gateway: Main Interface IP
Aes 256 Sha1
DH group 5
keylife 28800
xauth disable
Nat transversal: enable
keepalive frequency: 10
Dead peer detection: enale

Phase 2

name: test
phsae1: test

Aes 256 Sha1
enable replay detection
enable PFS
DH group 5
keylife: 1800
auto keep alive: enable

en la parte de las redes

source 0.0.0.0/0
destination 0.0.0.0/0

en la parte de Sonicwall


Policy type: tunnel interface
authentication method: IKE using Preshared Secret
name: test
ipsec primary gateway: WAN del Fortinet

Ike autehtication:

shared secret: test
confirm shared secret: test
Local IKE ID: ipv4 address (vacio)
Peer IKE ID: ipv4 address (vacio)

Agressive Mode
DH group 5
Aes 256 Sha 1
key life: 28800

phase 2

Protocol: ESP
AES 256
SHA1
DH group 5
key life: 1800

Enable keep alive
enable dead peer
enable nat transversal


Esas serian las configuraciones

en el fortinet consigo obtener esto

name type remte gateway remote port username timeout proxy id S proxy id D status incoming outgoing uptime
test_0 Dial UP Ip remota Dinamica 4500 blanco blanco blanco blanco blanco 0b 0b 1200s


y en el sonicwall obtengo esto:

Time ingress Egress Source IP Destination IP Ether Type Packet Ports Status Length
tiempo actual X3 interface -- ip remota fortinet ip local internet IP UDP 4500,4500 Consumed 138
tiempo actual -- x3 interface ip local internet ip remota fortinet IP UDP 4500,4500 Generated 138

Por lo que me temo que si trata de levantar el tunel, o lo levanta pero no me aparecen los indicadores de bring up o el verde en sonicwall de que la VPN esta activa.

Espero me puedan apoyar.

Saludos

[gabyrossi]

Hola, politica de firewall hiciste?

[pedroh]

Hola
Del lado del fortinet esta lo siguiente:

de internal1 (Red 1 local)
de "ALL"
hacia VPN "test"
hacia "ALL"
ANy
Any
activando log

de internal2 (Red 2 local)
de "ALL"
hacia VPN "test"
hacia "ALL"
ANy
Any
activando log


Viceversa

de VPN "test"
de "ALL"
hacia internal1 (Red 1 local)
hacia "ALL"
ANy
Any
activando log


de VPN "test"
de "ALL"
hacia internal2 (Red 2 local)
hacia "ALL"
ANy
Any
activando log


EN SONICWALL
Red Local
hacia servicio VPN
X6 Subnet interfaz
Red Remota
Any
Allow
All


RUTEO
de Red local
hacia ALL
Cualquier servicio
gateway 0.0.0.0
sale por la interfaz "VPN Test"


Saludos

[gabyrossi]

Tenes solo esa vpn?
si es asi

corre estos comando y guarda la salida a ver que mas sale

diagno debug appli ike -1
diagn debug enable

[pedroh]

EL problema es que tengo mas de 300 VPN activas, aun asi corro el comando??

o hay otra manera?

saludos

[gabyrossi]

Ok, entonces si tenes muchas, lo ideal es que trate de ponerlo local id en las phase1 revisa eso.
el comando correlo con estos filtros, si no saldran todas...


diag vpn ike filter name test
diag vpn ike log-filter name test

diag vpn ike filter list
diag vpn ike log-filte list


diagno debug appli ike -1
diagn debug enable

una vez que terminas

diag deb dis
diagnose vpn ike log-filter clear

[pedroh]

Hola, buenas tardes

Me arroja algo asi.

ike 0:replyCines_0:349557: error processing quick-mode message from IPSonicWall as responder
ike 0: comes IPSonicWall:4500->WANFortinet:4500,ifindex=7....
ike 0: IKEv1 exchange=Informational id=33838674d0245dad/4609546afd5862a9:994d9164 len=92
ike 0: in 33838674D0245DAD4609546AFD5862A908100501994D91640000005C6B1391D2E6AC79C0FDDF59623F6C908B2A15D731ABDF730BE06200C9C4253F0B54DA23448050EE9D50C311A84B8E2D348DEC17AEB8EB41E3A0F4FF251A1BDE33

ike 0:replyCines_0:349557: dec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
ike 0:replyCines_0:349557:141431989: peer proposal is: peer:0:0.0.0.0-255.255.255.255:0, me:0:0.0.0.0-255.255.255.255:0
ike 0:replyCines_0:349557:replycines:141431989: trying
ike 0:replyCines_0:349557:141431989: wildcard is not an acceptable destination subnet
ike 0:replyCines_0:349557:141431989: no matching phase2 found
ike 0:replyCines_0:349557:141431989: failed to get responder proposal
ike 0:replyCines_0:349557: error processing quick-mode message from IPSonicWall as responder
ike 0: comes IPSonicWall:1024->WANFortinet:4500,ifindex=7....
ike 0: IKEv1 exchange=Informational id=fe09a37766ce9501/d82931827b8d3f4c:67741e6a len=92
ike 0: in FE09A37766CE9501D82931827B8D3F4C0810050167741E6A0000005C1225C3F30C2D23AEC32FC980035F81170DEB476AAD5D3CB6DBF6C97E30BDA3A4F9539F4B359DFC65206EAFA313EEE325D3E508916BA31D073DA48670DD90E756

Saludos

[gabyrossi]

hola, revisa estos links y modifica los parametros necesarios de vpn
[Debes identificarte para poder ver enlaces.]