Problemas con multiples VPN en modo Interface

[Calixto]

Hola.

Tengo un problema con unas VPN en modo interface.
Tengo implementada dos VPN en modo interface sobre una interface (uno hacia un forticlient y otro hacia otro equipo fortinet) y funcionan perfecto.
El problema es que necesito implementar una tercera VPN (tambien en modo interface)sobre esa interface (hacia un forticlient) y no levanta.

Hay algun seteo en el CLI que se me este escapando?
Cualquier ayuda agradezco de antemano.

Saludos.

[gabyrossi]

Hola, a ver si entendi. Queres armar una vpn hacia el fortilcient? desde que equipo????????? no entendi


contra un fortclient arma las vpn en modo policy, ya que podes darle dhcp. y de la otra forma no

saludos
Gabriel

[Calixto]

Me encargaron el trabajo y el modo de la VPN debe quedar en modo interface (no requieren dhcp para los clientes, quedan con vip fijas).
Te adjunto un esquema para aclarar el problema.

En el esquema las tres VPN estan montadas en una misma interface externa y no levanta la tercera.

Gracias por responder.
Saludos.

[gabyrossi]

Hola, como estas¿? Deberia ser igual que la vpn2 pero con distinto presharedkey.
si podes, pega la conf. de la vpn y su politica, o una imagen y la revisamos.

saludos
Gabriel

[Calixto]

Te paso la configuracion de las dos VPNs y sus politicas

VLANS

edit "VPN_1"
set vdom "root"
set type tunnel
set interface "port2"
next
edit "VPN_2"
set vdom "root"
set type tunnel
set interface "port2"
next

GRUPOS

edit "SSL_VPN_1"
set group-type sslvpn
set sslvpn-tunnel enable
set member "usuarios_vpn1"
next

edit "SSL_VPN_2"
set group-type sslvpn
set sslvpn-tunnel enable
set member "usuario_vpn2"
next

FASES1

config vpn ipsec phase1-interface

edit "VPN_1"
set type dynamic
set interface "port2"
set dpd enable
set nattraversal enable
set proposal 3des-sha1 3des-md5
set xauthtype pap
set psksecret ENC 7fjYAGe/HsDtGf7NYLTj6yjfVfY3zzEwcEpqHdih4Sfn6fTzmRh1OM0Dsp3yBtsvb5GI0fvsvj1vUXBfGOr96xMM9RqpQ0FGNzJv9sW+qn
set authusrgrp "SSL_VPN_1"
next

edit "VPN_2"
set type dynamic
set interface "port2"
set dpd enable
set nattraversal enable
set proposal 3des-sha1 3des-md5
set xauthtype pap
set psksecret ENC358rK2s1PyzcDwRgKA43VhreA5fzaTCgfaXaMpZEiNEC8WCMtwaVsj/cerUQ3Xp7Bn8mJrt7gxOBGB9g8l8LcOwczfmJzjoff51gsbUKQrY
set authusrgrp "SSL_VPN_2"
next

FASES2

config vpn ipsec phase2-interface

edit "VPN_1_F2"
set keepalive enable
set pfs enable
set phase1name "VPN_1"
set proposal 3des-sha1 3des-md5
set replay enable
next
edit "VPN_2_F2"
set keepalive enable
set pfs enable
set phase1name "VPN_2"
set proposal 3des-sha1 3des-md5
set replay enable
next


POLITICAS

edit ---
set srcintf "VPN_1"
set dstintf "port7"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
next

edit ---
set srcintf "VPN_2"
set dstintf "port7"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
next


Saludos.

[gabyrossi]

hola, asi como esta deberia funcionar, si es que tiene psk diferentes.

probaste de hacer las vpn en modo policy?

saludos
Gabriel

[Calixto]

Las presharedkey siempre fueron distintas y curiosamente en modo policy tampoco funcionaba.
Pero despues de renegar lo pude solucionar; tal vez sea una debilidad del forti porque en ningun documento habla de este problema.
Pero bue... es lo que hay; tal vez en las proximas release lo solucionen.

Saludos.

[gabyrossi]

hola, no hay problemas, yo tengo esa conf en varios equipos y funcionando ok.

saludos

[Calixto]

si... claro... como digas.

Saludos.