Comunidad FORTIGATE.es

Estimados,

Buenos días. Les consulto porque armamos y desarmamos una VPN para forticlients pero siguen sin poder conectarse, siguiendo los pasos de

[Debes identificarte para poder ver enlaces.]

pero no nos permite conectar. Saben si hay algun problema si el forticlient es una version mas nueva que el SO del Fortigate?

el error desde el forticlient es

CHKPH1THERE: no established ph1 handler found

Muchas gracias!

hola, si usas mr2 en el fortigate, te conviene usar forticlient anteriores...

saludos.

Gracias Gaby lo voy a probar y aviso como salio.

Ahora veo eventos en el log del fortigate, pero en el forticlient me sale "no response from peer". Que podemos revisar? porque conectividad entre los pares tienen, las politicas estan habilitadas.

La configuracion que tengo es

* lado Fortigate (VPN modo interfaz)
VPN

1.JPG

2.JPG

Rutas

3.JPG

DHCP

Politicas

* Lado Forticlient
Config
Imagen

Log

Gracias

y la phase2 de la vpn en el fortigate?=

Se me paso, ahi va

Imagen

Hola,prueba de poner como source address en la phase2 selectors, 172.16.0.0/16

Gracias Gaby, lo probé y tampoco anduvo. Es como si el fortigate no terminara de negociar la fase 1

Habilitamos el policy-server, para que el forticlient tome solo la configuración, pero al conectar pide una vez contraseña y luego da el mensaje de "negociacion completada" cambia el estado a "en espera" y despues de unos minutos sale el mensaje "problemas para conectarse al gateway remoto"

hola, al momento de conectar hace un diagnose de la vopn a ver que error te arroja en el fortigate.

saludos

Gaby al hacer

diagnose debug app ike -1, no veo datos de la vpn en cuestion. hicimos un sniff de paquetes sobre la interfaz publica del fortigate filtrando por el src de la ip dinamica del forticlient

diagnose sniffer packet gigared_vpnhub 'src host 186.13.1.7' verbose

14.550566 186.13.1.7.14505 -> ---.XX.---.---.8900: syn 917856504
15.652886 186.13.1.7.14505 -> ---.XX.---.---.8900: ack 970735304
15.654012 186.13.1.7.14505 -> ---.XX.---.---.8900: psh 917856505 ack 970735304
15.892375 186.13.1.7.14505 -> ---.XX.---.---.8900: ack 970737641
15.964097 186.13.1.7.14505 -> ---.XX.---.---.8900: 917856826 ack 970737641
15.973204 186.13.1.7.14505 -> ---.XX.---.---.8900: psh 917858194 ack 970737641
16.134378 186.13.1.7.14505 -> ---.XX.---.---.8900: psh 917858999 ack 970737700
16.432568 186.13.1.7.14505 -> ---.XX.---.---.8900: ack 970737822
22.092478 186.13.1.7.14505 -> ---.XX.---.---.8900: psh 917859105 ack 970737822
22.212405 186.13.1.7.14505 -> ---.XX.---.---.8900: psh 917859195 ack 970737896
22.352326 186.13.1.7.14505 -> ---.XX.---.---.8900: fin 917859285 ack 970738306
Aca da el mensaje de negociacion completada en el cliente
22.382933 186.13.1.7.10554 -> ---.XX.---.---.500: udp 228
22.542967 186.13.1.7.10554 -> ---.XX.---.---.500: udp 292
22.739232 186.13.1.7.10860 -> ---.XX.---.---.4500: udp 104
27.796369 186.13.1.7.10860 -> ---.XX.---.---.4500: udp 108
32.862349 186.13.1.7.10860 -> ---.XX.---.---.4500: udp 112
39.204242 186.13.1.7.10860 -> ---.XX.---.---.4500: udp 116
43.613616 186.13.1.7.10860 -> ---.XX.---.---.4500: udp 120
48.660488 186.13.1.7.10860 -> ---.XX.---.---.4500: udp 124

hola, revisa estsoi comandos:

diag vpn ike filter name nombre_phase1

diag vpn ike log-filter name nombre_phase
diag vpn ike log-filter dst-addr4 ip_peer_remoto

Miras los filtros anteriores

diag vpn ike filter list
diag vpn ike log-filte list

habilita el debug

diagno debug appli ike -1
diagn debug enable

deshabilita el debug

diag deb dis
diagnose vpn ike log-filter clear

Gracias Gaby, el problema era el largo en el nombre de la phase1

Pego el log que sacamos por si a alguien le sirve

...
ike 4:ipsec_frtclient:10702782: NAT detected: PEER
ike 4:ipsec_frtclient:10702782: sent IKE msg (ident_r2send): ---.---.---.---:500->186.13.0.197:65456, len=292
ike 4:ipsec_frtclient:10702782: ISAKMP SA 54e6e096bab49f77/ae60f6ba178dc89f key 24:A23F2CD311A35083563755552DF7585D70080DCADD937405
ike 4:ipsec_frtclient:10702782: put connection to natt list...ip=186.13.0.197.
ike 4: comes 186.13.0.197:13412->---.---.---.---:4500,ifindex=37....
ike 4: IKEv1 exchange=Identity Protection id=54e6e096bab49f77/ae60f6ba178dc89f len=100
ike 4:ipsec_frtclient: Incoming 186.13.0.197, my:186.13.0.197.
ike 4:ipsec_frtclient: got conn from natt list, ---.---.---.XXX->186.13.0.197:13412.
ike 4:ipsec_frtclient:10702782: responder: main mode get 3rd message...
ike 4:ipsec_frtclient:10702782: received notify type 24578
ike 4:ipsec_frtclient:10702782: PSK authentication succeeded
ike 4:ipsec_frtclient:10702782: authentication OK
ike 4:ipsec_frtclient: adding new dialup tunnel for 186.13.0.197:13412
ike 4:ipsec_frtclient: could not create dialup name ipsec_frtclient_0, too long
...

lo modificamos de ipsec_frtclient a fclient y levanto la conexion sin problemas.

Muchas Gracias.

Buenisimo, gracias por mostrar la solucion.

saludos.

Comunidad FORTIGATE.es

No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10

Re: No conecta Forticlient V5.07 con FGT200B V4MR2.patch10