PROBLEMA CON VPN/IPSEC Y DHCP

[ruben]

Hola!!
Tengo un problema al crear una VPN para acceder a la red interna de mi empresa con el Forticlient, si lo configuro de manera que en el Forticlient le asigno una IP fija no hay problema, pero cuando intento darle la IP mediante DHCP al usuario que intenta acceder por el Forticlient no me funciona.
Detallo como tengo configurada la red:

El adsl de mi empresa tiene una IP fija. A este ADSL le tengo conectado un router Zyxel P-662H-D1 en modo Routing. Su IP LAN está en el segmento 192.168.1.0.

El Firewall que tenemos es un Fortigate 80-CM, el cual está conectado por la interfaz Wan1 a la interfaz LAN del router y tiene asiganada una IP en esa interfaz(wan1) dentro del segmento 192.168.1.0. Tiene una ruta estática para que las peticiones que le llegan al firewall a la dirección 0.0.0.0/0.0.0.0 salgan por la IP LAN del router a través de la wan1.

La interfaz internal del Forti está conectada a la red interna de la empresa la cual tiene una IP dentro del segmento 172.28.14.0, que es el que usamos dentro de nuestra red.

El firmware del Forti es el 3.00-b5380(MR7) y funciona en modo NAT.

Datos de la VPN
Fase 1:
Gateway Remoto - Usuario de Marcado telefónico
Interfase Local - wan1
Habilitar IPSec .. deshabilitado, ya que uso una policy-based VPN
Uso autentificación XAUTH, al cual he configurado para que autentifique a los usuarios mediante el Active Directory del controlador de dominio del empresa. Al servidor se accede mediante LDAP y en el mismo tengo instalado FSAE.
Fase 2:
Fase 1 - la descrita en el apartado anterior
Selector de Quick Mode:
Dirección Fuente: 172.28.14.0/24
DHCP-IPsec: habilitada

Para acceder por Forticlient se hace a través del segmento 172.254.254.0. He definido la siguiente ruta estática:
IP:172.254.254.0/255.255.255.0
Gateway: 192.168.1.13
Dispositivo: wan1


La configuración del Firewall:
- En dirección:
Tipo: Subred/Rango de IP
Subred / Rango de IP: 172.254.254.[1-253]
Interfase: Cualquier
- En Política creo una de la siguiente manera:
Zona/Interfase Origen: internal
Dirección Origen: La dirección que tengo definida en Rutas Estáticas y que apunta a nuestra LAN
Zona/Interfase Destino: wan1
Dirección Destino: la definida en Firewall/Dirección mencionada antes

Sistema/DHCP:
En la wan1 le asigno un servidor DHCP que asigna direcciones del segmento 172.254.254.0. Las direcciones las asigna el firewall mediante IPSEC, claro.

En el Forticlient le configuro como dirección remota la IP estática asignada a nuestro ADSL. Cuando intento acceder al DHCP le llega la solicitud por lo que veo tanto en el log como en Sistema/DHCP/Direcciones entregadas, pero al cliente no le llega la dirección asignada. Los clientes que he probado han sido Windows XP con Forticlient tanto versión 3 como 4 a través de ADSL con IP estática. También con Windows 7 con con Forticlient versión 4 desde casa, o sea ADSL con IP dinámica.
En cambio, cuando desactivo DHCP y le configuro al cliente una IP manualmente dentro del segmento 172.254.254.0 todo funciona correctamente, valida correctamente incluso el XAUTH. ¿Que puede estar fallando con el DHCP?

[gabyrossi]

Hola, como estas?
La ryra esta no hace falta:
Para acceder por Forticlient se hace a través del segmento 172.254.254.0. He definido la siguiente ruta estática:
IP:172.254.254.0/255.255.255.0
Gateway: 192.168.1.13
Dispositivo: wan1

borrala.

la phase2 como la hiciste? pusiste selectores? la politica como esta armada?

saludos

[ruben]

Gracias gabyrossi por la rápidez en tu respuesta!!
Efectivamente la ruta no era necesaria. Soy nuevo en esto, llevo tiempo detrás de la VPN que he probado tantas cosas que ya no sé casi lo que sobra o no.

Respecto a la phase2 en los selectores lo único que tengo puesto es esto
Dirección Fuente: 172.28.14.0/24
lo demás va a 0, incluido la dirección destino que está a 0.0.0.0/0 y no me deja cambiarla, supongo será por ser una VPN de marcado telefónico. Por cierto, esta sección, su función es definir las direcciones de origen y destino de la VPN que tienen acceso a la misma, ¿no?

Y la política, ¿te refieres a la política dentro de Firewall/Política?

[gabyrossi]

Hla en la phase2 el destino seria la la red que le pones al dhcp que entrega a la vpn.

sila politica de firewall que usa la vpn.

saludos

[ruben]

Hola gabyrossi,
en el destino de la phase2 te decía que no me dejaba poner nada, pero era porque estoy tonto, ponía la IP del segmento del DHCP pero dejaba la máscara a 0, así no me dejaba claro. Está claro que estas cosas hay que hacerlas despacito y con calma. De todas formas aún así sigue sin funcionar

Te pongo una captura de la política del Firewall
[Debes identificarte para poder ver enlaces.]

Esta política está situada encima de las demás políticas que hay con el mismo origen/destino. La Dirección destino está configurada de la siguiente manera

[Debes identificarte para poder ver enlaces.]

Y la dirección origen es la del segmento de nuestra red,claro.

Un saludo.

[gabyrossi]

hola y desde el forticlient te conecta ?? pero no llegas??

desde el foticlinet si haces un test que te muestra?
el firmware que usas es bastante viejo, cual es?
en la pc que s.o tenes?
saludos

[ruben]

Hola gabyrossi
el Forticlient no llega a conectarse. Me conecta si le configuro manualmente la IP, en este caso funciona correctamente.

Normalmente lo estoy probando con Forticlient v. 3 y 4 desde un Windows XP SP3 y me pasa lo que te comento. Pero también lo he probado con Forticlient 4 con un Windows 7 desde mi casa y lo mismo.

El firmware del Forti es antiguo sí, y me temo que no podré actualizarlo ya que no hemos renovado el servicio que permite actualizar el Antivirus y me temo que también incluye las actualizaciones de firmware porque con mi usuario desde la web no me aparecen las nuevas versiones del firmware.

Respecto al test del Forticlient, por un lado en el apartado VPN/Monitorear aparece lo siguiente
[Debes identificarte para poder ver enlaces.]

Y en General/Visor de bitácoras con el intento de conexión aparece lo siguiente
[Debes identificarte para poder ver enlaces.]

Un saludo

[gabyrossi]

hola, si es un firmware viejo puede que este fallando el dhcp.
revisa eso

sino recomiendo actualziar pero necesitas licencias, como vos decis.

saludos

[ruben]

Me temía que llegásemos a este punto. Bueno, como somos una empresa pequeña y por tanto pocos trabajadores les asignaré IP's fijas a los usuarios. Seguiré investigando si por un casual es nuestro router el que bloquea el DHCP, ya que el Forti realiza el envío de la dirección DHCP, pero al cliente no le llega, si descubro algo lo comentaré por aquí.

Tenía otro problema con la resolución de nombres DNS una vez conectado el túnel por VPN pero gracias a este hilo
http://www.fortigate.es/viewtopic.php?f=6&t=964

lo he solventado con WINS.

Tengo otro problema con el Forticlient y Windows 7 pero abriré otro hilo si no lo solvento.

Muchas gracias por tu ayuda gabyrossi!!

[gabyrossi]

hola, de nada.

saludos