Problema con VPN site to site entre Fortigate y pfsense
Problema con VPN site to site entre Fortigate y pfsense
Hola a todos!! Necesito vuestra ayuda!. Os explico:
Necesito crear una VPN IPsec site to site a través de un fortigate 60D con firmware 6.0.6 y un pfsense 2.4.5. Consigo establecer la VPN, pero la comunicación no es bidireccional, es decir, desde la LAN que está por detrás del pfsense (192.168.214.0 /24) consigo ver la LANl que está por detrás del fortigate (192.168.211.0/24), pero no al revés.
Llevo varios días intentando averiguar el motivo, pero no consigo identificar el problema
Os adelanto que llevo poco tiempo trasteando con fortigate y pfsense y no soy un virtuoso de la redes…
También deciros que tanto el fortigate como pfsense se conectan a internet a través de los routers suministrados por el ISP. Estos routers no tienen modo bridge, por lo que he activado la configuración DMZ de cada router asignando la ip de la interface WAN de de fortigate i pfsense
Os dejo un esquema del escenario:
Configuración VPN del fortigate:
Políticas creadas:
Ruta Estática:
Configuración de VPN en PFSense:
En Peer identifier debo definir la IP WAN asignada a fortigate para que se establezca la comunicación VPN:
Como comentaba antes, si hago un ping desde la LAN de pfsense (192.168.214.0 /24) a la LAN de fortigate (192.168.211.0 /24), recibo respuesta, pero no ocurre lo mismo si realizo el ping desde la LAN de fortigate a la LAN de pfsense (hago pings a las IP's de las interfaces LAN de fortigate y pfsense, es decir, a 192.168.211.1 y 192.168.214.1)
Si hago un tracert desde la LAN del fortigate hacia la LAN de pfsense, no determina la ruta para llegar a la LAN de pfsense:
Os agradecería que alguien me pudiera arrojar luz a este tema. Muchas gracias!!
Necesito crear una VPN IPsec site to site a través de un fortigate 60D con firmware 6.0.6 y un pfsense 2.4.5. Consigo establecer la VPN, pero la comunicación no es bidireccional, es decir, desde la LAN que está por detrás del pfsense (192.168.214.0 /24) consigo ver la LANl que está por detrás del fortigate (192.168.211.0/24), pero no al revés.
Llevo varios días intentando averiguar el motivo, pero no consigo identificar el problema
Os adelanto que llevo poco tiempo trasteando con fortigate y pfsense y no soy un virtuoso de la redes…
También deciros que tanto el fortigate como pfsense se conectan a internet a través de los routers suministrados por el ISP. Estos routers no tienen modo bridge, por lo que he activado la configuración DMZ de cada router asignando la ip de la interface WAN de de fortigate i pfsense
Os dejo un esquema del escenario:
Configuración VPN del fortigate:
Políticas creadas:
Ruta Estática:
Configuración de VPN en PFSense:
En Peer identifier debo definir la IP WAN asignada a fortigate para que se establezca la comunicación VPN:
Como comentaba antes, si hago un ping desde la LAN de pfsense (192.168.214.0 /24) a la LAN de fortigate (192.168.211.0 /24), recibo respuesta, pero no ocurre lo mismo si realizo el ping desde la LAN de fortigate a la LAN de pfsense (hago pings a las IP's de las interfaces LAN de fortigate y pfsense, es decir, a 192.168.211.1 y 192.168.214.1)
Si hago un tracert desde la LAN del fortigate hacia la LAN de pfsense, no determina la ruta para llegar a la LAN de pfsense:
Os agradecería que alguien me pudiera arrojar luz a este tema. Muchas gracias!!
Re: Problema con VPN site to site entre Fortigate y pfsense
Hola, cuando corres un sniffer en la interfaz túnel del FortiGate ves entrar ese tráfico hacia la LAN por el extremo del pfSense (192.168.214.0/24)?.
Es extraño, puesto que por alguna razón no está aplicando la ruta estática y el tráfico se está yendo por el default gateway y no por la VPN.
¿Podrías enviar el estado del SA por el lado del FG?.
Saludos,
Es extraño, puesto que por alguna razón no está aplicando la ruta estática y el tráfico se está yendo por el default gateway y no por la VPN.
¿Podrías enviar el estado del SA por el lado del FG?.
Saludos,
Saludos!
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Re: Problema con VPN site to site entre Fortigate y pfsense
Hola tengo un problema similar pudieron solucionar esto y de que manera?
Re: Problema con VPN site to site entre Fortigate y pfsense
Nunca contestó la persona que hizo la pregunta. ¿Tu problema puntualmente cuál es?.
Saludos!
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Re: Problema con VPN site to site entre Fortigate y pfsense
Exactamente el mismo que el, tengo comunicación de la LAN del pfsense al la LAN del fortigate pero de la LAN del fortigate no se comunica nada a la del pfsense
Re: Problema con VPN site to site entre Fortigate y pfsense
¿Qué tipo de túnel IPSec configuraste policy-based o routed?.
Saludos!
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Re: Problema con VPN site to site entre Fortigate y pfsense
el tunel es ipsec y tiene policy-based
Re: Problema con VPN site to site entre Fortigate y pfsense
Te recomiendo utilizar route-based en este caso.
Saludos!
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Re: Problema con VPN site to site entre Fortigate y pfsense
no sigue sin poder hacer conexión la lan de forti con la del pfsense
Re: Problema con VPN site to site entre Fortigate y pfsense
¿Y si corres un traceroute hacia dónde se enruta el tráfico?.
La verdad es que sin mayores antecedentes es difícil poder orientarte, no obstante podría recomendarte que revises debugs, logs y hagas un sniffer en la interfaz IPSec.
La verdad es que sin mayores antecedentes es difícil poder orientarte, no obstante podría recomendarte que revises debugs, logs y hagas un sniffer en la interfaz IPSec.
Saludos!
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Re: Problema con VPN site to site entre Fortigate y pfsense
Hola de echo ya lo hice jalar el problema estaba en una regla de pfsense que esta mal estructurada
Re: Problema con VPN site to site entre Fortigate y pfsense
Imposible establecer conexión VPN (-8)
La VPN estaba trabajando bien, pero ahora me sale ese mensaje y no me deja
conectar.
Me pueden ayudar para saber que solución tiene este error
La VPN estaba trabajando bien, pero ahora me sale ese mensaje y no me deja
conectar.
Me pueden ayudar para saber que solución tiene este error
Re: Problema con VPN site to site entre Fortigate y pfsense
Primero que todo, tu pregunta no tiene relación con el post original, ya que este trata de un túnel IPSec site to site. Además que es muy vago todo lo que indicas, puesto que el error en si no dice nada muy concreto, tampoco especificas qué tipo de VPN móvil estás utilizando.
El que esta haya estado funcionando previamente tampoco aclara absolutamente nada.
Si tienes acceso al FortiGate podrías averiguar qué está ocurriendo conectándote a través de SSH o consola, y ejecutar los siguientes comandos mientras intentas conectarte a la VPN.
SSL
diag debug application sslvpnd -1
diag debug enable
IPSec
diag debug application ike -1
diag debug enable
Una vez que recolectes la información requerida, para detener el debug:
diag debug disa
El que esta haya estado funcionando previamente tampoco aclara absolutamente nada.
Si tienes acceso al FortiGate podrías averiguar qué está ocurriendo conectándote a través de SSH o consola, y ejecutar los siguientes comandos mientras intentas conectarte a la VPN.
SSL
diag debug application sslvpnd -1
diag debug enable
IPSec
diag debug application ike -1
diag debug enable
Una vez que recolectes la información requerida, para detener el debug:
diag debug disa
Saludos!
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
-
- Mensajes: 1
- Registrado: 08 Dic 2021, 14:59
Re: Problema con VPN site to site entre Fortigate y pfsense
A mí también me gustaría resolver el mismo problema.
Re: Problema con VPN site to site entre Fortigate y pfsense
Hola,
¿Cuál problema, el de la VPN IPsec entre un FortiGate y Pfsense o la conexión a una VPN SSL?.
¿Cuál problema, el de la VPN IPsec entre un FortiGate y Pfsense o la conexión a una VPN SSL?.
Saludos!
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
_____________________________________________________________
Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es