VPN DRAYTEK 2930 CON FG60B

[esaxika]

Hola

Pues si eso me pasaba que yo a su red si podia pero el a la mia no hacia ping. La cosa que despues de modificar todo... me he dado cuenta que en el Firewall no tenia activado el asunto de q permita entrar los mensajes UDP y ICMP , q este ultimo es el del ping. Asi que pienso que seguro el fallo de antes era opr el Firewall.

Lo he vuelto a cambiar y ahora ni nos aparace. Ni se conecta ni na. Seguro que ahora con los nervios algo estamos poniendo mal.

Si quieres te subo como configure inicialmente la VPN.

Un saludo

[gabyrossi]

hola, que raro... bueno asi vemos como esta la vpn y la politica

saludos

[AngelGL]

Como la otra parte interesada en el tema, adjunto los logs tanto del lado del Draytek como del lado del Fortigate:

Draytek:

Apr 09 16:20:54 192.168.20.1 Apr 9 16:20:45 Vigor: Dialing Node3 (Notocar) : 85.152.12.---
Apr 09 16:20:54 192.168.20.1 Apr 9 16:20:45 Vigor: Initiating IKE Aggressive Mode to 85.152.12.---
Apr 09 16:20:54 192.168.20.1 Apr 9 16:20:45 Vigor: NAT-Traversal: Using RFC 3947, no NAT detected
Apr 09 16:20:54 192.168.20.1 Apr 9 16:20:45 Vigor: sent AI2, ISAKMP SA established with 85.152.12.---
Apr 09 16:20:54 192.168.20.1 Apr 9 16:20:45 Vigor: Start IKE Quick Mode to 85.152.12.---
Apr 09 16:20:54 192.168.20.1 Apr 9 16:20:45 Vigor: Cleint L2L remote network setting is 192.168.20.0/24
Apr 09 16:20:59 192.168.20.1 Apr 9 16:20:49 Vigor: Responding to Main Mode from 212.183.203.---
Apr 09 16:20:59 192.168.20.1 Apr 9 16:20:50 Vigor: [DPD] send R_U_THERE_ACK but ifno:9 is NOT connected now...reply it anyway
Apr 09 16:21:00 192.168.20.1 Apr 9 16:20:50 Vigor: Responding to Aggressive Mode from 85.152.12.---
Apr 09 16:21:05 192.168.20.1 Apr 9 16:20:55 Vigor: [DPD] send R_U_THERE_ACK but ifno:9 is NOT connected now...reply it anyway
Apr 09 16:21:05 192.168.20.1 Apr 9 16:20:55 Vigor: Responding to Main Mode from 212.183.203.---

Fortigate:

action=negotiate,init=local,mode=aggressive,stage=1,dir=outbound,status=success,msg="Initiator: sent 81.43.102.--- aggressive mode message #1 (OK)"
action=negotiate,init=remote,mode=aggressive,stage=1,dir=outbound,status=success,msg="Responder: sent 81.43.102.--- aggressive mode message #1 (OK)"
action=negotiate,init=remote,mode=aggressive,stage=2,dir=inbound,status=success,msg="Responder: parsed 81.43.102.--- aggressive mode message #2 (DONE)"
action=negotiate,status=negotiate_error,msg="Negotiate SA Error: Peer's id payloads do not match local policy."
action=negotiate,init=remote,mode=quick,stage=1,dir=inbound,status=failure,msg="Responder: parsed 81.43.102.--- quick mode message #1 (ERROR)"
action=delete_phase1_sa,msg="Deleted an Isakmp SA on the tunnel to 81.43.102.---:500"
action=negotiate,status=negotiate_error,msg="Negotiate SA Error: Peer's id payloads do not match local policy."
action=negotiate,init=remote,mode=quick,stage=1,dir=inbound,status=failure,msg="Responder: parsed 81.43.102.--- quick mode message #1 (ERROR)"
action=delete_phase1_sa,msg="Deleted an Isakmp SA on the tunnel to 81.43.102.---:500"
action=negotiate,init=remote,mode=aggressive,stage=1,dir=outbound,status=success,msg="Responder: sent 81.43.102.--- aggressive mode message #1 (OK)"
action=negotiate,init=remote,mode=aggressive,stage=2,dir=inbound,status=success,msg="Responder: parsed 81.43.102.--- aggressive mode message #2 (DONE)"
action=negotiate,status=negotiate_error,msg="Negotiate SA Error: Peer's id payloads do not match local policy."
action=negotiate,init=remote,mode=quick,stage=1,dir=inbound,status=failure,msg="Responder: parsed 81.43.102.--- quick mode message #1 (ERROR)"
action=delete_phase1_sa,msg="Deleted an Isakmp SA on the tunnel to 81.43.102.---:500"

He parseado un poco la parte del Fortigate para hacerla un poco mas digerible.

[esaxika]

TE paso la primera pantalla, la configuracion primera.

[esaxika]

Ahora te paso la imagen cuando pulsas el boton Advanced

[esaxika]

Y lo ultimo.. ya he dejado abierto para el protocolo ICMP y UDP en el FIrewall

[AngelGL]

Las capturas correspondientes al Fortigate.

[gabyrossi]

hola, no me queda claro eato


call direction ??dial-out ???


hace la vpn en modo interface.

saludos

[AngelGL]

De esta forma el Fortigate haria de servidor y el Draytek de cliente, por eso en la configuración del Draytek figura call-out.

Nos hemos basado en el tutorial de Draytek: [Debes identificarte para poder ver enlaces.] y en los comentarios de este hilo.