VPN IPsec FortiGate 60D vs Juniper Netscreen SSG5 o 5GT

[gllanderas]

Estoy intentando crear una VPN entre un FortiGate 60 D (v5.2.2,build642) y un Juniper Netscreen SSG5 -o con un 5GT- v6.2.0r18.0, pero no me funciona. Lo que encontré en Internet no me sirvió como ayuda de cómo configurarlo.

Pego aquí la configuración de ambos fws por si alguien puede ayudarme.

El FortiGate está con una IP fija y con el router en modo transparente (el fw tiene la IP pública).
El Juniper está con IP dinámica y está detrás de un router que está haciendo NAT. De todas formas para las pruebas estoy intentando configurar la VPN indicando la IP pública donde está el Juniper.

Configuración en el FortiGate:











Configuración en el Netscreen:









Los errores que da son:

En el FortiGate:





En el Juniper:



A ver si alguiene puede ayudarme. Gracias.

[gabyrossi]

Hola,
2 cosaas no veo

las red local y red remota configurada en la phase2 del fortigate
y el modo agresivo en el juniper.

las politicas estan armadas en los 2?

aca te dejo un lick con un ejemplo de vpn entre un fortigate y un juniper. No son las mismas version de s.o pero lo basico de ipsec deberia funcionar
[Debes identificarte para poder ver enlaces.]

saludos

[gllanderas]

Gracias por la respuesta, gabyrossi.

las red local y red remota configurada en la phase2 del fortigate
y el modo agresivo en el juniper.

La verdad es que no encontré dónde configurar la red local y la remota en la configuración de la VPN, sí que está en las políticas.

En el Juniper está configurado en modo agresivo (está justo debajo del Security Level de la fase 1, el Gateway.

De todas formas el error que está dando es en la fase 1: IPsec phase 1 error - peer SA proporsal not match local policy,

Hice todas las pruebas que se me ocurrieron: modo agresivo y main, con y sin Local ID, diferentes algoritmos de encriptación... pero nada, siempre el mismo mensaje.

las politicas estan armadas en los 2?

Sí. Pero para montar la VPN no sería necesario tener las políticas ¿no? con la conexión llegaría, después se montarían las políticas para definir qué se permite y que no, pero ya sobre el túnel activo.

aca te dejo un lick con un ejemplo de vpn entre un fortigate y un juniper. No son las mismas version de s.o pero lo basico de ipsec deberia funcionar
[Debes identificarte para poder ver enlaces.]

Esa explicación es la que usé como guía, y después varias páginas que encontré de otras preguntas por problemas con la conexión, con ninguna me funcionó. Claro que no vi a nadie usando esas versiones de los firmware.

[gllanderas]

Ya conseguí que pase la fase 1, ahora se queda en la 2.

No tengo muy claro lo qué fue que hizo que funcionase la fase 1, pero por si a alguien le interesa, lo tengo con Modo Main (ID Protection) y sin ningún Local ID puesto.

gabyrossi, gracias por la ayuda voy a seguir haciendo pruebas a ver si consigo pasar la fase 2, y si no lo consigo ya abriré otro hilo.

[gabyrossi]

Hola, si no tenes las politicas o al menos una, la vpn no va a levantar nunca.

saludos.