Comunidad FORTIGATE.es

Buen dia amigos, tengo un problemilla. Estableci una vpn entre dos fortigates, un 100 (v3.0 MR7) y un 110c (v4.0 MR1 Patch 10).... he hecho la vpn tanto en modo interfase como en modo policy e incluso con ambas no puedo hacer ping a los recursos entre ambas redes. Veo en el monitor la vpn arriba, sin embargo no hago ping a nada que o ste en la misma red.

Me tiene de cabeza, me he leido el foro buscando una solucion y nada que doy. Cuando creo las rutas estaticas (en la vpn modo interfase) les coloco la distancia por default (10). No tengo policy route.

Tambien tengo otro problemilla y es con los correos. Auque en las politicas doy acceso a todos y a todo no me entran y salen correos.


Por favor ayudenme.

Hola, la distancia en la ruta de la vpn (en modo interface) tiene que ser menor a la distancia de la wan.

No entendi lo del correo.
tenes un server adentro?

saludos

si, en una de las redes tengo dos server de exchange, con ip locales pero con virtual ip que apuntan a esas direcciones... , sin embargo, y aunque solo tengo dos policas donde permito todo a todos pues no recibo correos, ni pop3 ni smtp... puedo enviar sin embargo.}}saludos y gracias!

si, en una de las redes tengo dos server de exchange, con ip locales pero con virtual ip que apuntan a esas direcciones... , sin embargo, y aunque solo tengo dos policas donde permito todo a todos pues no recibo correos, ni pop3 ni smtp... puedo enviar sin embargo.}}saludos y gracias!

hola, como estas¿?
podrias mostrarnsos los vip y las politicas entrantes?

saludos

Hola...
Si puedes conectarte a tu VPN y no alcanzas ninguna IP de tu red, es probable que tengas el problema en las politicas.
Checa que la opcion NAT de tu politica External a Internal no este marcada.
De cualquier forma como dice Gabriel, esperamos tus pantallazos.

Saludos...

Hola, gracias por sus sugerencias, consejos y atenciones (lo de la distancia me ha servido un monton)

lo cierto es que en ese momento estaba bastante complicado. Lo quer hice fue crear la VPN modo interfase, siguiendo paso a paso lo indicado en la guia de administracion (incluso con nombres y todo)... previamente borre todas todas las politicas. Agregue solo dos politicas de internal a external todo permitido a todo el mundo y de external a internal, ademas de las politicas propias de la VPN que habia que crear.

Haciendo esto, practicamente desde cero, levanto la vpn perfectamente en modo interfase y finalmente pude hacer ping entre las subredes. Posteriormente comence a definir politicas de navegacion, servicios, etc... y asi reestableci el servicio casi en su totalidad.

Tenia una gran complicacion porque en una de las subredes habia un server de exchange, esa subred no tenia una direccion Ip publica, sino que yo con VIP apuntaba a la direccion externa de esa subred y entonces en el otro firewall (de la otra subnet-principal) hacia otra VIP desde esa interfase externa a la verdadera direccion IP publica.

Por alguna razon tuve que hacer port forward de los puertos correspondientes al servicio de correo pop3-smtp-imap en cada subnet y a cada Ip, ... en otras versiones podia establecer la VIP a la direccion (bien sea external de la subnet y hacia la IP publica) sin hacer port forward (asi no me funciono esta vez)... al hacer eso comenzaron a llegar los correos.

Me quedo solo una duda, que incluso la plantee aqui una vez, solo hago ping a los servidores en ambas redes, me parece extraño ya que no tengo politicas definidas para que esto sea asi, tampoco perfiles, nada que se le parezca, el asunto esta desde cero, sin embargo solo hago ping a los servidores y no a los PC.

Saludos a todos y muchisimas gracias!

hola, estan en la misma red pc y servidores? en la phase 2 de la vpn que tenes puesto como selctores?

saludos

Saludos!..

Los selectores estan por defecto(0.0.0.0/0), tanto de source como destination, asi como los ports y protocols, que segun lei y entendi te permitiria acceder a todos los recursos de ambas redes a traves de la VPN, sin embargo no es asi, solo hago ping a los server y unicamente a los server

... o sera que por CLI debo habilitar esta opcion, configurar esta opcion para el Tunnel?

If you are editing an existing phase 2 configuration, the Source address
and Destination address fields are unavailable if the tunnel has been
configured to use firewall addresses as selectors. This option exists only
in the CLI

...yo puedo editar perfectamente estos valores en phase 2, entonces quiere decir que el tunnel no ha sido configurado para utilizar estas direcciones del firewall como selectores?


saludos!

hola, no entiendo y vpn ipsec o ssl?

VPN por IPsec... los server y los PC estan cada uno en la misma subred. Es decir, en la Subnet "A" estan tanto los server como los PC... e igualmente en la subnet "B".

Es rarisimo, que puede ser?. Claro, la verdad verdad no requiero hacer ping a los PC, ya con los Server tengo suficiente, pero si me da la curiosidad el saber .

Saludos1

hola, tendran algun firewall local? no tendran gw ?

saludos