Comunidad FORTIGATE.es

Hola, Mi consulta es la siguiente tengo un FW200 configurada dos vpn ipsec (una es backup de la otra) y logicamente apunta a distintos equipos remotos, por si una falla.El tema es que recientemente probaron desconfigurar una de las vpn para ver si conmutaba a la segunda vpn y no levanto el tunel saben que pueda estar faltando para hacerlo automatico sin que yo lo tengo que hacer manualmente. ??

muchas gracias.

hola, uff muchas cosas por revisar.
del otro lado que equiopo tenes?

saludos.

Perdon gaby por no responder antes.

Del otro lado son equipos Juniper, segun el proveedor de la 2 vpn que es la de backup me dice que el no ve fase2, el tema es que hice algunos debugs y me da lo mismo. Que podria hacer para ver por donde viene el tema, no la tengo mucho con este tipo de VPN.

Gracias por tu tiempo y disculpas por la demora.

Hola zer0,

Podrias postear la configuracion de las dos faces de ambos tuneles?

show vpn ipsec phase1 <nombre>
show vpn ipsec phase2 <nombre>

o si es interface based

show vpn ipsec phase1-interphase
show vpn ipsec phase2-interphase

Me corriges, pero uno de los tuneles ya funciona usando el Juniper cierto?

Podrias tambien postear una ronda del sigueinte debug:

diag debug reset
diagnose vpn ike log-filter dst-addr4 <IPPublicaJuniper>
diagnose debug application ike -1
diagnose debug enable

Saludos,

Garsa escribió:Hola zer0,

Podrias postear la configuracion de las dos faces de ambos tuneles?

show vpn ipsec phase1 <nombre>
show vpn ipsec phase2 <nombre>

o si es interface based

show vpn ipsec phase1-interphase
show vpn ipsec phase2-interphase

Me corriges, pero uno de los tuneles ya funciona usando el Juniper cierto?

Podrias tambien postear una ronda del sigueinte debug:

diag debug reset
diagnose vpn ike log-filter dst-addr4 <IPPublicaJuniper>
diagnose debug application ike -1
diagnose debug enable

Saludos,

Buen dia gracias por responder. Exacto una de las vpn contra un Juniper funciona bien, yo tengo en mi equipo configurada la vpn que funciona y la de bck que no funciona.Ellos tienen en localidades diferentes los junipers con mismo firmware.

De mi lado es por interface: (por seguridad modifique algunos datos (ip,nombres))

FWforti_HA1 # show vpn ipsec phase1-interface ru_BKP
config vpn ipsec phase1-interface
edit "ru_BKP"
set interface "port13"
set dhgrp 2
set keylife 86400
set proposal 3des-sha1
set remote-gw 186.135.x.x
set psksecret ENC CePUu95+OXR7IsS7At9lw1qn7RNsrVEzoxzv63GNg2+
next
end

FWforti_HA1 # show vpn ipsec phase2-interface ru_BKP_Ph2
config vpn ipsec phase2-interface
edit "ru_BKP_Ph2"
set dst-addr-type name
set phase1name "ru_BKP"
set proposal 3des-sha1
set dhgrp 2
set dst-name "ru"
set keylifeseconds 28800
set src-subnet 10.100.10.0 255.255.255.128
next
end


Para realizar los DIAG tendria que contactar al ISP del otro lado, cuando lo realice que deberia ver o tener en cuenta, ya que quizas me tire un choclo de info. Tendre algo mas para verificar o hacer desde mi lado ?

Muchas Gracias

Estimados, gracias por responder pero me tenian entre las sogas y tuve que salir a meterle mano.... bueno entre el cliente del otro extremo y mis basicos conocimientos. Pude levantar la VPN de backup contra el juniper. El problema estaba en el "Quick Mode Selector" ----> "Destination Address" ----> "select" (yo ahi tenia 2 redes /24 ) y el cliente 3 redes por lo que una de ellas la configure tal cual el cliente y salio con fritas. (la verdad no soy especialista en vpn pero nunca me imagine que eso podria ser el issue) Es decir yo lo tenia asi configurado.:

Desde mi lado: x.x.x.x/24 y.y.y.y/25
Cliente (juniper): x.x.x.x/25 x.x.x.x/25 y.y.y.y.y/25

Muchas Gracias, cualquier duda me avisan y les doy mas info.

PD:solo me resta investigar como hacer para que si se cae una vpn entre la otra de backup, por ahora lo hago en forma manual con las interfaces logicas.

Hola, si esas redes (selectores) es bien bvasico que sean los mismo de un lado que del otro.

Para la vpn redundante revisa la guia de vpn que ahi hay info.

[Debes identificarte para poder ver enlaces.]

saludos

gabyrossi escribió:Hola, si esas redes (selectores) es bien bvasico que sean los mismo de un lado que del otro.

Para la vpn redundante revisa la guia de vpn que ahi hay info.

[Debes identificarte para poder ver enlaces.]

saludos

Ok, gracias.! tenes idea mas o menos por donde esta eso... ?

HOla, abriste el pdf al menos?

busca vpn redundant

saludos.

Saludos,

En el documento que te paso Gabyrossi esta toda la info (basado en V5.2.2). Lo importante es tener ambas configuraciones y prestar mucha atencion en la parte de las rutas estaticas.. el valor "distance" es clave.
Tambien te recomendaria leer un poco sobre DPD Dead Peer Detection (atencion al comando "set monitor <XX>", y asegurarte que este bien configuration en las phases de ambas VPNs. Esto basicamente previene que tu VPN se quede abajo luego de alcanzar el tiempo de espera y tambien, si se configura bien, monitorea otra VPN para activarse en caso de que esa falle.

Espero te sirva.

Garsa

gabyrossi escribió:HOla, abriste el pdf al menos?

busca vpn redundant

saludos.

Si,si al instante. Solo queria una ayuda para no bucear en todo el doc. Gracias. Ya que con el problema anterior no encontre esplicitamente ese tipo de issue y mira que lei y probe muchas cosas.

gracias.

Garsa escribió:Saludos,

En el documento que te paso Gabyrossi esta toda la info (basado en V5.2.2). Lo importante es tener ambas configuraciones y prestar mucha atencion en la parte de las rutas estaticas.. el valor "distance" es clave.
Tambien te recomendaria leer un poco sobre DPD Dead Peer Detection (atencion al comando "set monitor <XX>", y asegurarte que este bien configuration en las phases de ambas VPNs. Esto basicamente previene que tu VPN se quede abajo luego de alcanzar el tiempo de espera y tambien, si se configura bien, monitorea otra VPN para activarse en caso de que esa falle.

Espero te sirva.

Garsa

Muchas Gracias por tu ayuda tan practica como siempre. Espero poder plasmarlo en mi fortigate. gracias nuevamente.