Comunidad FORTIGATE.es

Buenas a todos. En la empresa tengo configurada VPN IPSec con autenticación LDAP contra dominio, hasta la fecha, los clientes XP y Windows 7 se conectan y trabajan perfectamente, eso si, usando el cliente oficial de VPN de fortinet(forticlient), con el propio cliente de vpn de Windows no he sido capaz de conectar los equipos.
Por necesidades de la organización estoy tratando de conectar terminales móviles a la vpn, no consigo conectar ningún terminal, he probado terminales con Android e Iphone.
El error que puedo ver en los logs es el siguiente(nada aclaratorio):

Con la VPN configurada en la fase1 en modo Principal/Main (Protección de ID) me aparecen los siguientes errores:

-ID 37124
Mensaje IPsec phase 1 error
Motivo de Error peer SA proposal not match local policy

-ID 37128
Mensaje progress IPsec phase
Resultado ERROR

Con la VPN en modo agresivo, el log me arroja sólo un error:

-ID 37124
IPsec phase 1 error
Motivo de Error no matching gateway for new request


¿alguna sugerencia o ayuda?

Gracias de antemano.

Saludos

Hola, que firmware tenes?

Iphone:
[Debes identificarte para poder ver enlaces.]

Android:
[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

He estado ojeando y realmente te guía paso a paso como implementar la vpn con soporte para Iphone y Android. En cuanto pueda y la necesidad sea imperiosa me pongo con ello y os cuento.
Muchas gracias compañero.

dale, luego nos cuentas.

saludos

Buenas Tardes, estoy tratando de configurar un vpn ipsec con autenticacion de ldap, actualmente me funciona el vpn ipsec pero solo con usuarios locales, y el fsso pero internamente. Configure un usuario escribiendo el nombre que esta en el ad y luego escogi la opcion match user on ldap server, pero aun no me sale, alguien que me pueda ayudar plz.

Hola, tenes configurado el ldap? que firmware tenes?

[Debes identificarte para poder ver enlaces.]

gabyrossi escribió:dale, luego nos cuentas.

saludos

Hola gabyrossi, he seguido al detalle la guía [Debes identificarte para poder ver enlaces.] (página 11 en adelante) tal y como me recomendaste, para armar la vpn ipsec para Iphone.
Me encuentro con un problema a la hora de ejecutar el siguiente comando mediante CLI

set ipv4-start-ip 172.16.1.1
set ipv4-end-ip 172.16.1.254
set ipv4-netmask 255.255.255.0

Estas instrucciones me dan error, incluso haciendo un "set ?" para listar la ayuda de los comandos veo que el "set ipv4-start-ip" no aparece. He seguido la configuración ovbiando este paso e indicando a la vpn que use relay-dhcdp.
EL RESULTADO ES QUE NO ME CONECTA, en el monitor del firewall veo el intento de conexión, el usuario y el password lo acepta pero no llega a conectar.

Los errores que me llegan por mail son estos:

Message meets Alert condition
date=2012-09-24 time=12:54:20 devname=FG100A3907501325 device_id=FG100A3907501325 log_id=0101037128 type=event subtype=ipsec pri=error vd="root" msg="progress IPsec phase 1" action="negotiate" rem_ip=77.209.225.211 loc_ip=xx.xx.xx.xx rem_port=16220 loc_port=500 out_intf="wan1" cookies="8ecb7eb3d8086913/0000000000000000" user="N/A" group="N/A" xauth_user="N/A" xauth_group="N/A" vpn_tunnel="VPN" status=failure init=remote mode=main dir=inbound stage=1 role=responder result=ERROR

Message meets Alert condition
date=2012-09-24 time=12:54:20 devname=FG100A3907501325 device_id=FG100A3907501325 log_id=0101037124 type=event subtype=ipsec pri=error vd="root" msg="IPsec phase 1 error" action="negotiate" rem_ip=77.209.225.211 loc_ip=xx.xx.xx.xx rem_port=16220 loc_port=500 out_intf="wan1" cookies="8ecb7eb3d8086913/0000000000000000" user="N/A" group="N/A" xauth_user="N/A" xauth_group="N/A" vpn_tunnel="VPN" status=negotiate_error error_reason=peer SA proposal not match local policy peer_notif=NOT-APPLICABLE

(la xx en la dirección lo he puesto yo para no publicar loc_ip lo he puesto yo para no hacer pública la ip)


He probado a configurar la vpn para que use relaydhcp(de esta forma tengo configurada otra vpn ipsec que funciona correctamente), aun así sigue sin llegar a conectar.


He ojeado esta guía, es identico al proceso que he seguido, no consigo averiguar que estoy haciendo mal.

[Debes identificarte para poder ver enlaces.]

El escenario lo estoy planteando con un Iphone IOS 5.1.1 y Fortigate 100A v4.0(MR3 Patch 2)

hola, los comandos los haces dentro de la vpn ?

ejemplo para android

[Debes identificarte para poder ver enlaces.]

ejemplo para iphone:

[Debes identificarte para poder ver enlaces.]


saludos

Ya está la VPN funcionando.

He vuelto a empezar y he seguido la siguiente guía [Debes identificarte para poder ver enlaces.]

El error ha estado en intentar armar la vpn usando la interfaz web del firewall, algún error cometí y además hay features que en modo gráfico no puedes configurar.

Gracias Gabirrosi

Una última cuestión, todo funciona ok, pero no me resuelve el DNS desde los dispositivos cliente(Iphone e Ipad).

A la hora de seguir la guía omití este paso:

Optional DNS Phase 1 settings:
set domain <domain suffix here>
set ipv4-dns-server1 <DNS server IP here>
set ipv4-dns-server2 <DNS server IP here>
set ipv4-dns-server3 <DNS server IP here>

Supongo que el problema vendrá de ahí, pero al ejecutar estos comandos ¿afecta a otras vpn que tengo creadas?

Otra pregunta en relación a las políticas, si quiero dar acceso a los clientes a una dirección ip específica y no toda la red, ¿cómo debo hacer?

Perdonar por abusar...

Gracias de antemano.

hola, exactamente ahi deberas agregarle los dns para esa vpn.

si solo queres entrar solo a una ip o algunas ip, basta con modificar el dstino de la politica entrante de vpn hacia tu red.

saludos

Ok Gabirrosi, probaré.


otra cuestión, desde los cliente conecto a la vpn perfectamente pero no puedo navegar por internet, he leído esto esta solución viewtopic.php?f=6&t=3185 pero parece que son las DNS públicas de google, de esta forma la navegación la estaría haciendo a través de la vpn ¿no es así?

Gracias de nuevo por todo...

gabyrossi escribió:hola, exactamente ahi deberas agregarle los dns para esa vpn.

si solo queres entrar solo a una ip o algunas ip, basta con modificar el dstino de la politica entrante de vpn hacia tu red.

saludos

Perfecto Gabyrrossi, modifiqué las políticas y ok.

Tan sólo me queda resolver el problema de no poder navegar con los Iphone/Ipad cuando están conectados a la vpn, probé la solución que proponen en el otro hilo y nada. ¿alguna sugerencia?

Hola, hiciste una politica desde la interface vpn hacia la wan nateada?

saludos

Si Gabirrosi, tengo 2 políticas de la red VPN hacia la LAN, una para que lleguen al server que corre la intranet(objetivo de todo esto) y otra para que accedan al server dns y así resuelvan las direcciones por DNS, esto funciona OK

Tengo otra política de la LAN(red local) a la red VPN.

Y probé a hacer una política, tal y como me recomendaste de la red VPN hacie la WAN, pero aun así los clientes VPN siguen sin poder navegar
cuando están conectados a la VPN, ¿quizás tengas que hacer alguna política de ruteo al ser redes diferentes?, te detallo como las tengo:

Iphone(VPN)--> Internal
----------------------------
red apple vpn(172.16.2.0) ---> servidor X (192.168.0.x)
red apple vpn(172.16.2.0) ---> servidor DNS (192.168.0.x)

Internal -->Iphone2(VPN)
-----------------------------
red local(192.168.0.0) ---> red apple vpn(172.16.2.0)

Iphone(VPN) ---> WAN
---------------------------
red apple vpn(172.16.2.0) ---> WAN

Otra cosa que me sucede es que los clientes VPN se desconectan tras un tiempo de inactividad, he revisado los settings de la fase2 y
tengo habilitado "mantener con vida en auto-llave", aun así se desconectan, ¿alguna idea?

Perdonar por abusar, espero que este post sirva a muchos como yo.

Saludos