Comunidad FORTIGATE.es

que tal Foro de Fortigate buen dia, administro una red con un fortigate 60C el cual presenta un bug en la parte de IPSEC Monitor, les platico lo que e notado:
al crear la fase 2 de un tunel punto a punto esta o estas fases aparecen en el monitor de IPSEC donde uno puede ver si a existido trafico, si esta caida la fase. el problema que tengo aqui es cuando borro una fase por X o Y razon y al volverla a crear aparecen las dos fases ( repetidas ) en el monitor esto me esta causando muchos problemas ya que el trafico que va por dicha fase no es redireccionado correctamente. Esta parte lo e solucionado eliminado todas las FASES 2 de dicho tunel inlcusive la FASE 1 pero cuando son demasiados y ya todo esta en produccion me es imposible hacer esto sin tener una ventana demasiado grande para dar de baja por completo el tunel y volverlo a levantar. Existe algun comande que se pueda usar en CLI para hacer que las fases repetidas del monitor de IPSEC sean eliminadas completamente? hay algun update para evitar que esto pase?.
Muchas gracias por sus comentarios.
Saludos

Hola, como estas? eso dependera de mucho de las sesiones y timeout de las phases.
inclusive de los seteos de las phases locales y del equipo remoto tambien.


prueba estos comandos:

execute vpn ipsec tunnel down <phase2> [<phase1> <phase2_serial>]
where:
• <phase2>is the phase 2 name
• <phase1>is the phase 1 name
• <phase2_serial>is the phase 2 serial number
<phase1>is required on a dial-up tunnel.

saludos.

Me ocurre el mismo problema que tuvo Adrian Moran.

En el ipsec monitor se quedan grabadas fases 2 de la conexion ipsec al modificarlas y esto hace que el trafico que va por dicha fase no es redireccionado correctamente.

He probado los comandos propuestos por Gaby pero tan solo suben [up] o bajan [down] el tunel activo pero no me borran las sesiones anteriores.

¿Alguna sugerencia?

Hola, como estas?
Que firmware tenes? Muy a menudo te toca modificar las vpn? cual seria el motivo?

saludos.

Sólo tuve que modificarlas esta vez, pero ni borrarndo caches ni reiniciando sesiones consegui borrar las fases 2 que me estaban dondo problemas.

La solución que he encontrado es borrar entera la ipsec y volverla a crear entera, borrando politicas que la hacían referencia incluidas. Un poco mas de trabajo ...

buen dia


aqui tienes que ver varios aspectos, como dijo gaby , que firmware tienes??, cada cuanto haces esto, por mi parte lo recomendable es que entres a CLI y modifiques el tiempo , similar ha cuando asignas un tiempo predeterminado en liberar tu dhcp en fortinet .
saludos