Imposible conectar VPN

[Pier]

Hola a tod@s, llevo un par de semanas intentando configurar una VPN entre un 110C y un 80C. He realizado la configuración 1000 veces, la he revisado por si faltaba algún dato, y no hay manera que se conecten. Empezaba a pensar que era un problema de nuestro router aDSL, pero si configuro una VPN de dialup, puedo conectar un cliente remoto con forticlient.

Las VPN están creadas así:
LOCAL
Phase 1: Static IP, xx.xx.xx.xx, local interface: wan1,Main,Preshared Key,Accept any peer. En advanced no está marcado Enable Interface Mode, y el resto de opciones por defecto.
Phase 2: Usa la Phase 1 y el resto de opciones por defecto
REMOTO
Exactamente la misma configuración pero ápuntando a la IP pública de LOCAL.

Agradecería cualquier ayuda, o algún enlace a documentos de troubleshooting de las VPNs de Fortinet.

He realizado un debug del IKE, esto es lo que me muestra continuamente (REMOTO es la sede remota, xx.xx.xx.xx IP pública local, yy.yy.yy.yy IP pública remota):
REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO:47342: sent IKE msg (ident_i1send): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
REMOTO: Initiator: sent yy.yy.yy.yy main mode message #1 (OK)
0:REMOTO:47342: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
0:REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: ignore link fail, too old
0:REMOTO:47342: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
0:REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: ignore link fail, too old
shrank heap by 126976 bytes
0:REMOTO:47342: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
0:REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: DPD fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 send failure, resetting ...
0:REMOTO: deleting
0:REMOTO: flushing
0:REMOTO: flushed
0:REMOTO: deleted
0:REMOTO: created DPD triggered connection: 0x8eb6228 3 xx.xx.xx.xx->yy.yy.yy.yy:500.
0:REMOTO: new connection.
0:REMOTO:47343: initiator: main mode is sending 1st message...
0:REMOTO:47343: cookie 32a3e65c502fd14b/0000000000000000
0:REMOTO:47343: sent IKE msg (ident_i1send): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
REMOTO: Initiator: sent yy.yy.yy.yy main mode message #1 (OK)
0:REMOTO:47343: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
0:REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: ignore link fail, too old
0:REMOTO:47343: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356

REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: ignore link fail, too old
shrank heap by 126976 bytes

0:REMOTO:47343: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356



Gracias!!!!

[gabyrossi]

Hola, como estas? Varias preguntas por hacerte:

* que firmware tienes en los 2 equipos?
* tenes mas vpn armadas y funcionando???
* el dpd esta activo en las 2 vpns???
* desde los 2 equipos si haces ping a la ip publica llegas?


saludos

[Pier]

Hola, gracias por tu rápida respuesta:

* En el 110c: v4.0.3,build0106,090616. En el 80C: v4.0.0,build5025,090616.
* No tengo ninguna VPN más funcionando. Bueno, la IPSEC dialup que sí que conecta, desde usuarios remotos con Forticlient.
* El Dead Peer Detection está marcado en las dos Phase1.
* Desde cada aparato puedo hacer ping desde la CLI hacia su propia IP pública, pero no me responde si el ping lo hago a la IP pública de la otra site.

Puede ser un problema del router ADSL? He leído alguna cosa referente al NAT-T, pero no tengo claro cómo puede influir. Lo curioso es que las IPSec dialup parece que funcionan, e incluso desde un PC interno puedo acceder a Internet desde el Forti.

Saludos

[gabyrossi]

Hola, como estas? los adsl estan en modo nat? o los pasaste en modo bridge?

saludos

[Pier]

Hola de nuevo, en la configuración del ADSL lo configuramos sin NAT, con IP fija. El router de ADSL es un Teldat C1, no he encontrado demasiada información en Internet sobre este dispositivo. Teóricamente, esta configuración es de tipo "monopuesto".

Esta tarde voy a proceder a actualizar el firmware a la 4.0.1 Patch3, aunque dudo que sea ése el problema...

Saludos y gracias.

[gabyrossi]

Hola, como estas? entonces la configuracion de user y pass del adsl esta en la wan el fortigate?

saludos

[Pier]

Hola, como estas? entonces la configuracion de user y pass del adsl esta en la wan el fortigate?

saludos

Hola gabyrossi. No, la configuración de user i pass està en el ADSL. En el ADSL sólo hemos marcado sin NAT y, cuando nos pide que le pongamos la IP del dispositivo al cual pasar la IP "pública", le hemos dado la IP privada del Forti.

Saludos,

[gabyrossi]

Hola, entonces lo ideal seria que pases el modem a modo bridge.

saludos

[Pier]

OK, entiendo entonces que la cuestión es poder configurar el router ADSL como bridge. Habrá que profundizar en la pobre documentación que acompaña Telefonica con sus routers.

Ya te explicaré cómo vamos avanzando.

Gracias de nuevo.

[gabyrossi]

Hoa, no es dificil, solo tendras que tener el user y pass de la cuenta de adsl y luego puedes buscar en google con el modelo de tu modem la guia para pasarlo a bridge.

saludos