Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

Imposible conectar VPN

https://www.fortigate.es/viewtopic.php?t=1030

Página 1 de 1

Imposible conectar VPN

Publicado: 31 Ene 2010, 15:25
por Pier
Hola a tod@s, llevo un par de semanas intentando configurar una VPN entre un 110C y un 80C. He realizado la configuración 1000 veces, la he revisado por si faltaba algún dato, y no hay manera que se conecten. Empezaba a pensar que era un problema de nuestro router aDSL, pero si configuro una VPN de dialup, puedo conectar un cliente remoto con forticlient.

Las VPN están creadas así:
LOCAL
Phase 1: Static IP, xx.xx.xx.xx, local interface: wan1,Main,Preshared Key,Accept any peer. En advanced no está marcado Enable Interface Mode, y el resto de opciones por defecto.
Phase 2: Usa la Phase 1 y el resto de opciones por defecto
REMOTO
Exactamente la misma configuración pero ápuntando a la IP pública de LOCAL.

Agradecería cualquier ayuda, o algún enlace a documentos de troubleshooting de las VPNs de Fortinet.

He realizado un debug del IKE, esto es lo que me muestra continuamente (REMOTO es la sede remota, xx.xx.xx.xx IP pública local, yy.yy.yy.yy IP pública remota):
REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO:47342: sent IKE msg (ident_i1send): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
REMOTO: Initiator: sent yy.yy.yy.yy main mode message #1 (OK)
0:REMOTO:47342: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
0:REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: ignore link fail, too old
0:REMOTO:47342: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
0:REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: ignore link fail, too old
shrank heap by 126976 bytes
0:REMOTO:47342: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
0:REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: DPD fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 send failure, resetting ...
0:REMOTO: deleting
0:REMOTO: flushing
0:REMOTO: flushed
0:REMOTO: deleted
0:REMOTO: created DPD triggered connection: 0x8eb6228 3 xx.xx.xx.xx->yy.yy.yy.yy:500.
0:REMOTO: new connection.
0:REMOTO:47343: initiator: main mode is sending 1st message...
0:REMOTO:47343: cookie 32a3e65c502fd14b/0000000000000000
0:REMOTO:47343: sent IKE msg (ident_i1send): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
REMOTO: Initiator: sent yy.yy.yy.yy main mode message #1 (OK)
0:REMOTO:47343: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356
0:REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: ignore link fail, too old
0:REMOTO:47343: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356

REMOTO: link fail 3 xx.xx.xx.xx->yy.yy.yy.yy:500 dpd=2
0:REMOTO: ignore link fail, too old
shrank heap by 126976 bytes

0:REMOTO:47343: sent IKE msg (P1_RETRANSMIT): xx.xx.xx.xx:500->yy.yy.yy.yy:500, len=356



Gracias!!!!

Re: Imposible conectar VPN

Publicado: 31 Ene 2010, 15:41
por gabyrossi
Hola, como estas? Varias preguntas por hacerte:

* que firmware tienes en los 2 equipos?
* tenes mas vpn armadas y funcionando???
* el dpd esta activo en las 2 vpns???
* desde los 2 equipos si haces ping a la ip publica llegas?


saludos

Re: Imposible conectar VPN

Publicado: 31 Ene 2010, 20:16
por Pier
Hola, gracias por tu rápida respuesta:

* En el 110c: v4.0.3,build0106,090616. En el 80C: v4.0.0,build5025,090616.
* No tengo ninguna VPN más funcionando. Bueno, la IPSEC dialup que sí que conecta, desde usuarios remotos con Forticlient.
* El Dead Peer Detection está marcado en las dos Phase1.
* Desde cada aparato puedo hacer ping desde la CLI hacia su propia IP pública, pero no me responde si el ping lo hago a la IP pública de la otra site.

Puede ser un problema del router ADSL? He leído alguna cosa referente al NAT-T, pero no tengo claro cómo puede influir. Lo curioso es que las IPSec dialup parece que funcionan, e incluso desde un PC interno puedo acceder a Internet desde el Forti.

Saludos

Re: Imposible conectar VPN

Publicado: 01 Feb 2010, 14:29
por gabyrossi
Hola, como estas? los adsl estan en modo nat? o los pasaste en modo bridge?

saludos

Re: Imposible conectar VPN

Publicado: 01 Feb 2010, 15:22
por Pier
Hola de nuevo, en la configuración del ADSL lo configuramos sin NAT, con IP fija. El router de ADSL es un Teldat C1, no he encontrado demasiada información en Internet sobre este dispositivo. Teóricamente, esta configuración es de tipo "monopuesto".

Esta tarde voy a proceder a actualizar el firmware a la 4.0.1 Patch3, aunque dudo que sea ése el problema...

Saludos y gracias.

Re: Imposible conectar VPN

Publicado: 01 Feb 2010, 16:51
por gabyrossi
Hola, como estas? entonces la configuracion de user y pass del adsl esta en la wan el fortigate?

saludos

Re: Imposible conectar VPN

Publicado: 01 Feb 2010, 18:01
por Pier
gabyrossi escribió:Hola, como estas? entonces la configuracion de user y pass del adsl esta en la wan el fortigate?

saludos


Hola gabyrossi. No, la configuración de user i pass està en el ADSL. En el ADSL sólo hemos marcado sin NAT y, cuando nos pide que le pongamos la IP del dispositivo al cual pasar la IP "pública", le hemos dado la IP privada del Forti.

Saludos,

Re: Imposible conectar VPN

Publicado: 01 Feb 2010, 19:48
por gabyrossi
Hola, entonces lo ideal seria que pases el modem a modo bridge.

saludos

Re: Imposible conectar VPN

Publicado: 01 Feb 2010, 22:11
por Pier
OK, entiendo entonces que la cuestión es poder configurar el router ADSL como bridge. Habrá que profundizar en la pobre documentación que acompaña Telefonica con sus routers.

Ya te explicaré cómo vamos avanzando.

Gracias de nuevo.

Re: Imposible conectar VPN

Publicado: 02 Feb 2010, 15:51
por gabyrossi
Hoa, no es dificil, solo tendras que tener el user y pass de la cuenta de adsl y luego puedes buscar en google con el modelo de tu modem la guia para pasarlo a bridge.

saludos
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España