Error INVALID HASH AL ACTUALIZAR EL OS

[albertoavila77]

Buenas noches compañeros del foro me uno a ustedes para fortalecer aun más nuestra comunidad de usuarios de Aplicaciones Fortinet,
entrando en materia en estos momentos estoy tratando de actualizar mis equipos fortigate de 50A a 60A contra un 200A, en total son 12 equipos en los cuales realice un upload de la configuración desde los 50A hasta los 60 solo modificando el archivo de configuración, hasta aquí todo ok hasta que intento el monitoreo de los túneles VPN/IPSEC donde ninguno sube, cuando verifico los log me encuentro con que me arrojo el siguiente error INVALID-HASH, de verdad ya lo he intentado todo hasta donde me lo permite el conocimiento pero ya no se que otra cosa probar, todo parece indicar que es algo de los certificados, pero he realizado ciertas pruebas cambiandolos, y demas pero hasta ahora no he tenido éxito, pou último me parece que es tambien por el proceso en si de la actualización puesto que estoy haciendo el upgrade desde la versión 2.8 -489 hasta la versión 3.0 660, si alguno alguno ha tenido este inconveniente y lo ha podido solventar les ruego me orienten en esta ardua tarea ya que para mi es critica en estos momentos.

Sin mas que acotar de antemano muchas Gracias,,,,,,,

[gabyrossi]

hola, como estas? Cambiaste de la configuracion de los 50a que tiene interface interna y externa) en los 60a que tienes wan1,wan2, dmz , y 4 puertos internos. Eso editaste los nombres de las interfaces, cambiaste y luego actulizaste?
Hacerlo de esta manera es bastane complicado. Lo mejor es ir haciendo de a uno copiando y pegando cosas pero no levantando u backup de uno a otro. Si explicas mejor como lo hiciste aclararias unas cuantas dudas.

Con el tema del error, podria ser por algo de lo anterior.

Con la actulizacion del firmware de 2.8 a 2.30 lo que recomiendas es llevarlo al ultimo firmware del 2.8 (2.8 mr 12 patch 1) y luego al primero del 3.0 (mr1).
Eso sale en los release notes cuando salen los firmware.
ftp://support.fortinet.com/FortiGate/v3 ... ease-5.pdf
lo encontras en la pag. 9 donde dice:

3 Upgrade Information
3.1 Upgrading from FortiOS v2.50
Upgrades from FortiOS v2.50 to FortiOS v3.00 directly is NOT supported. Upgrade to at least FortiOS v2.80 MR11 prior to
upgrading to FortiOS v3.00 MR5. Refer to the FortiOS v2.80 MR11 release notes for upgrade procedures.
3.2 Upgrading from FortiOS v2.80
Upgrade to FortiOS v2.80 MR11 prior to upgrading to FortiOS v3.00 MR5.

[Debes identificarte para poder ver enlaces.]


suerte

saludos
Gabriel

[albertoavila77]

Muy acertados sus comentarios compañero Gabriel efectivamente ya me he documentado con toda la información que usted cito, y le voy a comentar de manera mas detallada los procedimientos que realice:
1. Modifique los archivos de los 50A tal como lo comenta usted adaptándolo a las características de los 60, en cuanto a la cabecera del archivo, modelo, versión del Firmware, nombre de las interfaces, etc, y efectivamente cuando le subo la configuración a el 60 funciona correctamente conectado con el 200A los túneles espesificamente.
2. Actualice de la 2.8-489 a la ultima con el patch 2.8-520 y funciono perfectamente, y luego de la 2.8-520 hasta la 3.0-247 hasta aquí todo bien excepto cuando intento actualizar a la versión 3.0-660 que es cuando me indica el error del hash en la autenticación.

En conclusión la duda que tengo es si tengo que hacer el upgrade release por release o existe la manera de realizarlo solo con algunas versiones para que me tome la configuración de los túneles tal cual como lo hizo al actualizar a la 3.0-247, de verdad no se que estoy haciendo mal, ¿que sera mejor configurarlo desde cero? si va ha ser así con cada actualización sera una tarea titánica ya que la configuración del 200A esta un poco extensa la verdad me preocupa porque fortinet esta lanzando actualizaciones muy seguidas y si se presentan estos comportamientos extraños lo pensare mejor a la hora de actualizar el OS.

De antemano muchas gracias, si necesita saber otros detalles para poderme ayudar le ruego me lo notifique.

Saludos.

Carlos....

[gabyrossi]

hola, de nada. Primero los que estas actulizando son los 50a a los 60.. y el 200 tambien?
que fortinet saque firmware tan rapido no significa que tengas que hacer todos estos procediemientos. si lo mantenes actulizado y el fortigate anda bien no necesitas tener el ultimo firmware, solo si anda mal algo o hay algo ipritante que salio nuevo y que lo necesitas usar.

donde te da el error del hash? en la vpn ? podes poner los errores aqui? y probaste de configurar la vpn denuevo? esto no seria tanto trabajo. es bastante rapido si de los 2 extremos tenes fortinet.

saludos

[albertoavila77]

Hola de nuevo sigo con mis pruebas y nada de nada, te comento el escenario donde estoy trabajando.

1. En la sede principal contamos con un equipo 200A con la versión FortiOs 2.0 build 489, con Internet frame relay, del otro lado teníamos los FGT 50A con conexiones ABA, en total 12 50A, dichos equipos tienen configurados túneles IPSEC todos contra el 200A.
2. Modifique la configuración de los 50A para utilizarla en los 60 esto funciono perfectamente, tuneles, politicas, VIP's, clientes forticlient,etc.
3. Actualice los 60 de la 2.8-489 a la 3.0-660 directamente, en este paso funcionaron perfectamente todos los túneles de los 60 hacia el 200A.
4. Pero el problema se me presenta solo con los túneles cuando actualizo el 200A de la 2.8-489-->2.8-520--->3.0-247--->3.0-660, todo perfecto excepto los túneles y otros detalles con las VIP's que pude solucionar fácilmente, cuando los 60 hacen el llamado la respuesta es en pocas palabras este mensaje de INVALID HASH esto en el 200A y en los 60 algo que tiene que ver con el preshared key, es evidente que es algo de problemas con los certificado o el método de encriptacion, claro esta que no se cambio ningún parámetro.
5. Por otro lado tratando de crear un túnel nuevo tampoco me deja hacerlo me da errores con el preshared key y no entiendo puesto que este procedimiento es como usted dice rápido sencillo.
6. Como último dato tengo todos los tuneles en ambas fases con DES y MD5 como protocolos de encriptación.

De nuevo muchas gracias por el interes.

Le saluda..
Carlos.....

[gabyrossi]

hola, como estas? ya se lo que te debe estar pasando.
en todas las vpns tenes el mismo preshared key ? si es asi, modificalo y a cada vpn contra el 200 ponele una preshared key distinta. obviamente en el 200 la misma que en el 60.. pero que sea distinta con las otras vpn's

saludos

Gabriel

[albertoavila77]

Como estas Gabriel, efectivamente esa es la solución, cambie cada uno de los presharedkey y se soluciono el problema rapidamente y lo mejor de todo me ahorre el tener que reconfigurar desde cero cada uno de los equipos, me ahorre un tiempo valiosicimo y por otro lado ya no me preocupan las actualizaciones proximas ya que esta batalla me ha dejado un gran aprendisaje, ya migre todos los equipos y aproveche a instalar el path 1 del MR6.

Una ultima duda lo que pasa es que no me ha dado tiempo de investigar estoy haciendo una pausa para despejar un poco la mente despues de tan laboriosa tarea, en concreto ¿Existe la manera de configurar un Pin Generator para mantener los tuneles arriba es que tengo congifurado VPN's a varias interfaces y suben solo las que generan tráfico automatico, como por ejemplo las conexiones de las centrales telefónicas (troncales IP)?

Gracias de antemano..

De verdad un millon de gracias por tu aporte no me equivoque al hacerme parte de este foro espero en un futuro ayudar a tantas personoas como usted lo hace.

saludos,,,,

Carlos...

[gabyrossi]

hola, com estas? de nada amigo.... por suerte lo solucionaste con lo que te dije.

en consola en la phase 2, tenes para setear un pin generation y enable

mañana miro bien por si no lo detectas.

saludos

[gabyrossi]

hola, como estas? aca te paso bien los comandos. Uno es por consola y el otro es una opcion que esta por web dentro de la configuracion de la vpn tambien.

Tenes que entrar a la phase2 o phase2-interface (dependiendo como armaste la vpn), luego editas el nombre de la vpn y luego escribir "set auto-negotiate enable" ( levanta la vpn por consola en la vpn-phase2).

esto esta por web :
"AutoKey Keep Alive" -> mantiene viva la vpn. (web en phase2).

Lo tenes que hacer en los 2 fortigate en cada configuracion de la vpn.

espero que esto sea lo que necesitas.

saludos
Gabriel

[albertoavila77]

Buen día compañero aquí informándole que efectivamente que los comando de que me comento funcionaron perfectamente y logre solucionar en la totalidad los inconvenientes que se me presentaron con las conexiones VPN.

Agradeciendo su valiosa colaboración se despide,,,

Carlos Avila.

[gabyrossi]

Hola, que bueno que quedo solucionado.

cualquier otro problema o algo que quieras contarnos poder hacerlo en otro post.

saludos
Gabriel