Forticleint VPN

[Bukosama]

Alguien podria explicarme como crear una VPN con un Equipo Fortinet 100 y qeu puertos son lo que utiliza el Forticlient



Gracias y Saludos

[rreyes]

Bueno siguiendo el [Debes identificarte para poder ver enlaces.] del Knowledge Center pues hecho esta configuraciones..
Si le entiendes a al Ingles Técnico, sino vale, tiene ilustraciones.. estoy seguro que podrás lograrlo.

Los pasos a hacer son:

1. Definir parámetros del IPSEC
2. Crear las políticas de FIREWALL (Y colocarlas en la parte superior de la lista)
3. Configurar el IPSEC en el FortiClient

Sigue el PDF, pero omite la parte del DHCP, que no funciona a del todo bien, y es mejor control y decirle que IP va tener, así que tendrás que ponerle la ip manualmente al FortiClient

Si tienes alguna duda puntual, tendrás que dar información más puntual

[javier_n26]

Hola,,,,, estos dias estoy gestionando diferentes VPN entre fortigate y net screen y checkpoint,,,, watch guard,,,,, o de fortigate a forticlient,,,,,,


Por favor dime como quieres hacer la vpn y te mando toda la documentacion con los screenshots de lo que he realizado

[Bukosama]

Seria de Fortigate a Forticlient

Gracias y Saludos

[javier_n26]

ahhhh,,,,, listo super sencillo


TE vas a la parte de firewall ---> vpn ---> ipsec

Gestionas alli la parte de phase 1 y phase 2,,,,,,,,,,,,,,,,, y posterior a eso creas una politica pero en la parte de action no le das accept sino encrypt y seleccionas la vpn y listo


si quieres diagnosticar problemas te vas a log access y memory,,,, o con un diag vpn tunnel list

culaquier cosa no dudes,,,,, en preguntar

[Bukosama]

Podrias explicarme lo de phase 1 y phase 2


Gracias y Saludos

[javier_n26]

claro que si



Resulta que en un standar de ipsec tu siempre para la configuracion debes tener en cuenta una serie de parametros tales como son algoritmos y metodos de autenticacion y un pre sahred key

eso lo defines en esas fases

[Bukosama]

ok entonces lo qeu haga al phase 1 tiene qeu ser igual al Forticlient



Gracias y saludos

[yan]

buenas, necesito crear una vpn ipsec entre un fortinet60wifi con el mr5 patch 4 y forticlient. y el problema que tengo es el siguiente configuro todo en el forti pero el forticlient no le llega, segui los pasos del ejemplo y ahora nisiquiera le llega al fortinet. queda en estado de connecting sin lograr nada.

[gabyrossi]

hola, como estas? hay varios metodos de configurar una vpn con forticlient.
nose cual hiciste.
repasa los puntos . y contanos con mas detalles como la armaste y los errores que da.

saludos
Gabriel

[yan]

EL ERRORQUE ME ARROJA EL FORTICIENT ES EL SIGUIENTE

loc_ip=(IPLOCAL) loc_port=500 rem_ip=(IP REMOTO) rem_port=500 out_if=0 vpn_tunnel=vpn_forticlient status=negotiate_error msg="No response from the peer, retransmit (st=1)....
"

[gabyrossi]

Hola, como estas? Mira ese error no dice mucho, seria bueno que expliques como configuraste la vpn del lado del forticate y del lado del forticlient, y si podes copiar la configuracion seria mejor.

saludos
Gabriel

[adrian74]

Estimados,
Tengo un problema similar Agradezco mucho los comentarios..

El caso es que me permite conectarme solo ocasionalmente y fuera de horario laboral..

El Forticlient arroja el siguiente error en Log.
loc_ip=192.168.1.246 loc_port=4500 rem_ip=x.x.x.x rem_port=4500 out_if=0 vpn_tunnel=GMX status=negotiate_error msg="Received delete payload from peer check xauth password.
(repeated 2 times in last 1062 sec) loc_ip=192.168.1.58 loc_port=500 rem_ip=x.x.x.x rem_port=500 out_if=0 vpn_tunnel=GMX status=negotiate_error msg="No response from the peer, phase1 retransmit reaches maximum count....
"

Fortigate 100D
v4.0,build0665,130514 (MR3 Patch 14)
Forticlient: 4.2.8.3.7

Name: Remoter_users
Remote Gateway: Dialup User
Local Interface; wan2
Mode Main (ID protection)
Authentication Method
Pre-shared Key
Peer Options
Accept any peer ID (X)
Accept this peer ID
Accept peer ID in dialup group
(XAUTH, NAT Traversal, DPD)
Main Interface IP Specify
P1 Proposal

1 - Encryption 3DES Authentication SHA1
2 - Encryption 3DES Authentication MD5
DH Group 5
Keylife (28800 seconds)

XAUTH Enable as Server
Server Type PAP CHAP AUTO (X)
User Group GMXRemote
NAT Traversal Enable
Keepalive Frequency (10 seconds)
Dead Peer Detection Enable

Edit Phase 2
Name: Remote_Users
Phase 1: Remote_Users

P2 Proposal
1- Encryption: 3DES Authentication: SHA1
2- Encryption: 3DES Authentication: MD5
(x) Enable replay detection
(x) Enable perfect forward secrecy(PFS).
DH Group 5
Keylife: 1800 (Seconds) (KBytes)
Autokey Keep Alive Enable
DHCP-IPsec Enable

DHCP Service
Interface Name: wan2
Mode: Server
Enable
Type IPsec
IP: 10.x.x.x - 10.x.x.x -
Network Mask
Default Gateway

Policy ID 2
Source Interface/Zone: port1 (GMX Gateway)
Source Address: LAN MTY
Destination Interface/Zone: wan2(Internet Alestra 2Mb)
Destination Address: all
Schedule :always
Service :ANY
Action : IPSEC
VPN Tunnel :Remote_Users

Allow inbound Inbound NAT
Allow outbound Outbound NAT



Saludos

[gabyrossi]

hola, la politica la hiciste arriba de las demas?
como configuraste el forticlient?

seria bueno que armaras la vpn en modo interface.

saludos.