Fortigate 110C

Para discusiones sobre temas técnicos (solución de problemas, configuraciones) cuyo tema no pertenezca especificamente a otros foros.
ceub
Mensajes: 25
Registrado: 11 May 2010, 20:27

Fortigate 110C

Mensaje por ceub »

Estimados

Soy nuevo por estos lados y tengo una duda.
Quiero saber si la(s) puerta(s) WAN pueden fijar su velocidad o no? Ya que el enlace que tengo, la puerta del Media Converter está forzada a 100Mb.

Quedaré agradecido por vuestra respuesta.

Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Mensaje por gabyrossi »

hola, como estas? todas las interfaces estan en automatico.Asique deberia tomarla a 100.
Pero por cli podes cambiarle la velocidad.

seria:
con system interface
edit "wan1" o "port1" o el que sea.
set speed 100full
end

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ceub
Mensajes: 25
Registrado: 11 May 2010, 20:27

Re: Fortigate 110C

Mensaje por ceub »

Muchas gracias
Lo hice y ha resultado muy bien.

Saludos!!!
ceub
Mensajes: 25
Registrado: 11 May 2010, 20:27

Re: Fortigate 110C

Mensaje por ceub »

Estimado

Tengo un problema con 2 VPNs IPsec
Y al revisar por consola me arroja esto:

2010-05-13 13:14:23 0: exchange=Informational id=a6157e50e8765c2c/003599ed465564cb:8122aaf8 len=84
2010-05-13 13:14:23 0: found VPN_2 201.238.207.165 3 -> 64.76.136.178:500
2010-05-13 13:14:23 0:VPN_2:10: notify msg received: R-U-THERE-ACK
2010-05-13 13:14:25 0:VPN_1: link is idle 3 201.238.207.165->190.96.79.90:500 dpd=2 seqno=98
2010-05-13 13:14:25 0:VPN_1: send DPD probe, seqno 152
2010-05-13 13:14:25 0:VPN_1:11: sent IKE msg (R-U-THERE): 201.238.207.165:500->190.96.79.90:500, len=92
2010-05-13 13:14:25
0: comes 190.96.79.90:500->201.238.207.165:500,ifindex=3....
2010-05-13 13:14:25 0: exchange=Informational id=4fe6457df5709fa9/ffaebccce7248381:8fbfcb28 len=84
2010-05-13 13:14:25 0: found VPN_1 201.238.207.165 3 -> 190.96.79.90:500
2010-05-13 13:14:25 0:VPN_1:11: notify msg received: R-U-THERE-ACK
2010-05-13 13:14:28 0:VPN_2: link is idle 3 201.238.207.165->64.76.136.178:500 dpd=2 seqno=98
2010-05-13 13:14:28 0:VPN_2: send DPD probe, seqno 152
2010-05-13 13:14:28 0:VPN_2:10: sent IKE msg (R-U-THERE): 201.238.207.165:500->64.76.136.178:500, len=92
2010-05-13 13:14:28

Al monitorear la VPN por WEB, nunca está arriba

Me puedes dar una mano por favor???
Gracias y Saludos
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Mensaje por gabyrossi »

Hola, la vpn esta armada contra qye equipo? 2 fortigates? o que? como esta armada la vpn? podes mostrar la config ?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ceub
Mensajes: 25
Registrado: 11 May 2010, 20:27

Re: Fortigate 110C

Mensaje por ceub »

Hola

Las VPNs van contra equipos CISCO, distintos Data Center
Aquí dejo la configuración de las VPNs

edit "VPN_2"
set interface "wan1"
set dhgrp 1
set proposal 3des-sha1
set keylife 86400
set remote-gw 64.76.136.178
set psksecret ENC ABUnTgbjSrE2yF8a1EdiKVPGc0RpHu4DyejBpJn1HfhVN+OYrhOvF2RLUMHSVxiJp1qM3oT1hNTZKS8dClouyhYg8lqj242lbzFwDO2b/fUQeGkI
next
edit "VPN_1"
set interface "wan1"
set nattraversal disable
set dhgrp 2
set proposal 3des-sha1
set remote-gw 190.96.79.90
set psksecret ENC CmzhWdaoXgSKw/NFPGXrHD+9Qw3AGTI3D/bYtiEcch2g4+Sc6p4jITFXAz5NaTXmIqQaCoQXIm2jPVYpGnwo48UZ8RnXRNSwbMFcXQh2CCFnB4J4
next
end
config vpn ipsec phase2
edit "VPN2_2"
set dhgrp 1
set keepalive enable
set phase1name "VPN_2"
set proposal 3des-sha1
set keylifeseconds 86400
next
edit "VPN1_2"
set dhgrp 2
set keepalive enable
set phase1name "VPN_1"
set proposal 3des-sha1
set keylifeseconds 28800
next

Gracias y Saludos!!
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Mensaje por gabyrossi »

hola porque hay 2 vpn? tenes hecha la politica? esta armada en modo policy.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ceub
Mensajes: 25
Registrado: 11 May 2010, 20:27

Re: Fortigate 110C

Mensaje por ceub »

Son 2 VPNs, que van hacia aplicaciones distintas fuera de la oficina.

Aquí está la configuración de firewall Policy y firewall address

config firewall policy
edit 1
set srcintf "switch"
set dstintf "wan1"
set srcaddr "RED_LAN"
set dstaddr "TODO_INTERNET"
set action accept
set schedule "SIEMPRE"
set service "ANY"
set nat enable
next
edit 3
set srcintf "switch"
set dstintf "wan1"
set srcaddr "RED_LAN"
set dstaddr "Global"
set action ipsec
set schedule "SIEMPRE"
set service "ANY"
set inbound enable
set outbound enable
set vpntunnel "VPN_2"
next
edit 4
set srcintf "switch"
set dstintf "wan1"
set srcaddr "RED_LAN"
set dstaddr "GTD"
set action ipsec
set schedule "SIEMPRE"
set service "ANY"
set inbound enable
set outbound enable
set vpntunnel "VPN_1"
next
edit 2
set srcintf "switch"
set dstintf "wan1"
set srcaddr "RED_LAN"
set dstaddr "TODO_INTERNET"
set action accept
set schedule "SIEMPRE"
set service "ANY"
set profile-status enable
set profile "Filtro_PRUEBA"
next


config firewall address
edit "RED_LAN"
set associated-interface "switch"
set subnet 192.168.1.0 255.255.255.0
next
edit "TODO_INTERNET"
set associated-interface "wan1"
next
edit "Global"
set subnet 10.1.2.0 255.255.255.0
next
edit "GTD"
set subnet 10.0.2.3 255.255.255.255
next

Quedo atento a tus comentarios.

Gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Mensaje por gabyrossi »

hola, no entiendo.

son vpn ipsec, desde un fortigate hacia donde?
las politicas encryptadaa(vpn modo plicy)van arriba de todas las demas.

asi es dificil saber que es lo que querar hacer funcionar .

documentacion:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ceub
Mensajes: 25
Registrado: 11 May 2010, 20:27

Re: Fortigate 110C

Mensaje por ceub »

Te explico mejor

Tengo un firewall antiguo marca McAffe funcionando con las VPNs que he mencionado anteriormente.
Y ahora ha llegado un nuevo firewall, Fortigate 110C, y debo hacer que funcione tal cuál como el antiguo firewall.
Funciona la conexión a Internet, accesos remotos, pero las VPNs IPsec, no me funcionan.

Te quiero dejar un esquema de más o menos como es el esquema de las VPNs
http://www.subirimagenes.com/otros-esquemavpn-4500428.html

Son 2 VPNs distintas, que van hacia un CISCO cada una y allí hay un servidor con una aplicación.
Espero que con el equema que envié me puedas entender. He estado leyendo bastante, justamente de los links que me adjuntaste, pero así y todo aún no puedo hechar andar las VPNs.
Si te darás cuenta que urge mucho este tema. Por lo mismo insisto tanto.

Muchas gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Mensaje por gabyrossi »

hola, la imagen no se ve.

porque no mostras los datos de la vpn del cisco, ya que hay que tratar de traducir los mismo datos al fortigate.

revisar porque es necesario 2 vpn, si van al mismo sitio, alcanza con una sola.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ceub
Mensajes: 25
Registrado: 11 May 2010, 20:27

Re: Fortigate 110C

Mensaje por ceub »

Las VPNs van a sitios distintos.

La configuración de la VPN 1 en el Cisco es:

IP Address: 190.96.79.90
Port Address: Any
Encryption Domain: 10.0.2.x/32
Clave: XXXXXXXXXXX

PHASE 1
Authentication Method: Pre-share
Encryption Scheme: IKE
Diffie-Hellman Group: Grupo2
Encryption Algorithm: 3DES
Hashing Algorithm: Sha
Lifetime (for renegotiation): 28800

PHASE 2
Encapsulation (ESP or AH): ESP
Encryption Algorithm: 3DES
Lifetime (for renegotiation): 28800

La Segunada VPN en otro Cisco es:

IP Address: 64.76.136.178
Port Address: Any
Encryption Domain: 10.1.2.x/24
Clave: XXXXXXXXXXX

PHASE 1
Authentication Method: Pre-share
Encryption Scheme: IKE
Diffie-Hellman Group: Grupo1
Encryption Algorithm: 3DES
Hashing Algorithm: Sha
Lifetime (for renegotiation): 86400

PHASE 2
Encapsulation (ESP or AH): ESP
Encryption Algorithm: 3DES
Lifetime (for renegotiation): 86400

Espero haber podido el haber aclarado un poco el tema.

Dejo una vez más el link del esquema VPN que tengo
[Debes identificarte para poder ver enlaces.]
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Fortigate 110C

Mensaje por gabyrossi »

Hola, primero tenes que ponerte de acuerdo con los datos de una vpn del fortigate, con la otra en el cisco., Tienen que coincidir, encryptacion, autenticacion, psk, y tiempo de las llaves.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ceub
Mensajes: 25
Registrado: 11 May 2010, 20:27

Re: Fortigate 110C

Mensaje por ceub »

Hola
Los datos de la VPN configuradas en los Cisco que te mostré anteriormente las tengo configurada en el fortifgate. Ahora dejé las Policy al principio como me lo dijiste.
Me falta probar una vez más.
Te comentaré que sucedió.
Gracias y Saludos.
ceub
Mensajes: 25
Registrado: 11 May 2010, 20:27

Re: Fortigate 110C

Mensaje por ceub »

He solucionado el problema de las VPNs...

Me queda una duda.
Cuando reinicio el equipo las VPNs no suben solas. Hay alguna forma de que suban automáticamente???

Saludos!!!
Responder