Comunidad FORTIGATE.es

Buenos dias,

Tengo un equipo FG60C con FW V4.0 (MR3 Patch 3) y 5 equipos FG30B con FW v4.0 (MR3 Patch 2) configurados con VPN tipo Interface Mode, se conectan y se ven entre si y los equipos detras de ellos tambien. El problema que tengo es que se desconectan las VPNs y tengo que levantarlas varias veces en el dia.

¿Que parámetro de las VPNs creen que me este fallando? Esta es la configuración en ambos extremos.
Mode: Main (ID Protection)
Authentication Method: Preshared Key
Peer Options: Accept any peer ID
ADVANCED...
Enable IPSec Interface Mode
IKE Version 1
Local Gateway IP: Main Interface IP
P1 Proposal
Keylive 28800
XAuth Disable
Deed Peer Detection: ENABLE

Que no se levanta la VPN al ver que esta caido el enlace entre las puntas?

Saludos ...

hola, como estas? si se caen las vpn seguramente es porque no hay trafico.


revisa en la phase 2 de habilitar por cli el auto-negotiate

saludos

Gracias Gabyrossi,

Me tarde buscando como hacer el auto-negotiate en los equipos, de lo que he leido en knowledge de fortinet hay que hacer lo siguiente:

config vpn ipsec phase2
edit "FG02toFG01_phase"
set auto-negotiate enable
set phase1name FG02toFG01
end

pero el detalle esta en el atributo "phase1name" me arroja el siguiente error:
entry not found in datasource

value parse error before 'FG02toFG01'
Command fail. Return code -3

Ya le intente de varias formas, que crees que me este fallando? si escribo exactame el nombre como aparece en phase1.

gabyrossi escribió:hola, como estas? si se caen las vpn seguramente es porque no hay trafico.


revisa en la phase 2 de habilitar por cli el auto-negotiate

saludos

Ya hice esto, y lo he intentado varias veces con 4 equipos diferentes, pero siempre me sale el mismo error del parametro "phase1name", el error es:
entry not found in datasource

value parse error before 'FG02toFG01'
Command fail. Return code -3

Ya estuve leyendo por todos lados, estos son los pasos que sigo hasta llegar al error:
FGT30B3G0801XXXX # config vpn ipsec phase2

FGT30B3G0801XXXX (phase2) # edit "FG05toFG01"
new entry 'FG05toFG01' added

FGT30B3G0801XXXX (FG05toFG01) # set auto-negotiate enable

FGT30B3G0801XXXX (FG05toFG01) # set phase1name FG05toFG01
entry not found in datasource

value parse error before 'FG05toFG01'
Command fail. Return code -3

FGT30B3G0801XXXX (FG05toFG01) # end
node_check_object fail! for phase1name
Attribute 'phase1name' MUST be set.
Command fail. Return code -56

En que me esta fallando?

Saludos ...

hola, no necesitas setear la phase1 dentro de la pahse2

ya lo hbiciste en la vpn creada por web.

solo setea el auto-negotiate.

saludos

gabyrossi escribió:hola, no necesitas setear la phase1 dentro de la pahse2

ya lo hbiciste en la vpn creada por web.

solo setea el auto-negotiate.

saludos

Ok, creo que lo que me tratas de decir es lo siguiente,
En modo CLI es,
config vpn ipsec PHASE2name
edit PHASE2name
set auto-negotiate enable
set PHASE1name PAHSE1name
end

Según el equipo no existe el nombre de la PHASE1

hola, dependiendo de que tipo de vpn hiciste(modo policy o modo interface) sera:

config vpn ipsec phase2
edit bombre_vpn
o

config vpn ipsec phase2-interface
edit nombre_vpn

gabyrossi escribió:hola, dependiendo de que tipo de vpn hiciste(modo policy o modo interface) sera:

config vpn ipsec phase2
edit bombre_vpn
o

config vpn ipsec phase2-interface
edit nombre_vpn

Quedo resuelto,

Desconocía el atributo phase2-interface, por lo que mi VPN tipo INTERFACE no reconocía los atributos ya mencionados. Resumiendo como se configuro es la siguiente:

En modo CLI
config vpn ipsec phase2-interface
edit "nombre de la phase2 a configurar"
set auto-negotiate enable
set phase1name "nombre del phase1 perteneciente del phase2"
end

Gracias GABYROSSI