Comunidad FORTIGATE.es

Estimados,

Tengo un fortinet 80C y cree una VPN a modo interfaz con un cliente. Mi problema es que el requerimiento del cliente es que los encryption domain deben ser ips públicas. Yo cuento con 2 ips publicas (una la uso como peer y otra como encryp domain)

La vpn propiamente dicha levanta, pero para que el tráfico llegue a los encryp domain de mi cliente tengo que mapear con un VIP a la IP publica que definí como mi encryption domain.

Es decir, si yo hago un vip de la pública 200.0.0.2 a 172.16.1.15, el tráfico a los domain encryption de mi cliente funciona perfectamente.

Mi problema es entonces que yo necesio que tráfico sea generado desde mi red interna y pase por la interfaz tunel y para eso debería salir con la IP 200.0.0.2 (mi encryp domain)

Como podría hacer para que el tráfico de mi red interna llegue a esa vpn sin tener que morir en que sólo 1 máquina lo haga?

Mis datos
Red interna : 172.16.1.0/16
IP publica( asignada al fw y peer) : 200.0.0.1
IP publica (encryp domain): 200.0.0.2

Cliente
IP publica (peer): 200.200.0.0
IP publica (encryp domain): 200.200.0.100
IP publica (encryp domain): 200.200.0.101

Espero puedan ayudarme porque ya no se que más hacer con esto!

hola, como estas? revisa por cli y la vpn y politica un comando que se llama natip.

tambien en la doc.

saludos

Estuve viendo un poco acerca del tema pero no es muy claro. Tuviste alguna experiencia haciendo esto?

Muchas gracias por tu ayuda! No soy un experto en firewalls pero tengo alma linuxera así que lo que aprendí fue googleando!

gabyrossi escribió:hola, como estas? revisa por cli y la vpn y politica un comando que se llama natip.

tambien en la doc.

saludos

Estuve revisando la documentacion.. Cuando quiero ejecutar el comando en CLI en el PH2 de la VPN me dar un error -61 como que el comando "set use-natip disable" no existe. El mismo error me da cuando dentro de la policy quiero usar los comandos
set inbound enable
set outbound enable
set nat outbound enable

El firmware del equipo es

gabyrossi escribió:hola, como estas? revisa por cli y la vpn y politica un comando que se llama natip.

tambien en la doc.

saludos

Estuve revisando la documentacion.. Cuando quiero ejecutar el comando en CLI en el PH2 de la VPN me dar un error -61 como que el comando "set use-natip disable" no existe. El mismo error me da cuando dentro de la policy quiero usar los comandos
set inbound enable
set outbound enable
set nat outbound enable

El firmware del equipo es

hola, como estas?
Hacelo directamente en al politica...

aca tengo un ejemplo:
edit 1
set srcintf "INTERNA"
set dstintf "wan1"
set srcaddr "LanUsuarios"
set dstaddr "vpn1"
set action ipsec
set schedule "always"
set service "TELNET"
set logtraffic enable
set natip 192.31.254.9 255.255.255.248
set comments "VPN policy-based (tunnel mode)"
set inbound enable
set outbound enable
set natoutbound enable
set vpntunnel "vpn1"
next

esta en modo policy pero es lo mismo en una politica de modo interface.

saludos

Muchas gracias por tu ayuda.

Ayer luego de varias pruebas descubrí que ese tipo de nat con una policy en modo interfaz no se puede realizar.

La politica en modo interfaz la tengo creada de la siguiente manera,

set srcintf "internal"
set dstintf "VPN_INTERFACE"
set srcaddr "RED_INTERNA"
set dstaddr "all"
set action accept
set logtraffic enable
set schedule "always"
set service "ANY"
set nat enable

Luego cree un static route que dice que todo lo que va a la RED_REMOTA pase por la "VPN INTERFACE".

Según lo que investigue para que me habilite todas las opciones de natoutbound y natip la policy debe tener el parámetro encrypt (en vez de accept o deny). Si quiero poner encrypt no tengo con que key hacerlo debido a que no me reconoce la ph1 porque está a modo interfaz.

Lo que hice fue reconfigurar la vpn y hacerla por políticas, configure el natip pero no me anduvo =(

Muchas gracias por tu ayuda.

Ayer luego de varias pruebas descubrí que ese tipo de nat con una policy en modo interfaz no se puede realizar.

La politica en modo interfaz la tengo creada de la siguiente manera,

set srcintf "internal"
set dstintf "VPN_INTERFACE"
set srcaddr "RED_INTERNA"
set dstaddr "all"
set action accept
set logtraffic enable
set schedule "always"
set service "ANY"
set nat enable

Luego cree un static route que dice que todo lo que va a la RED_REMOTA pase por la "VPN INTERFACE".

Según lo que investigue para que me habilite todas las opciones de natoutbound y natip la policy debe tener el parámetro encrypt (en vez de accept o deny). Si quiero poner encrypt no tengo con que key hacerlo debido a que no me reconoce la ph1 porque está a modo interfaz.

Lo que hice fue reconfigurar la vpn y hacerla por políticas, configure el natip pero no me anduvo =(

hola, si la tenes en modo interface, tenes que utilizar ip pool para hacer el nat con la ip que deseas.

saludos