VPN no puede acceder a VLan

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Responder
juanvidal_it
Mensajes: 7
Registrado: 02 Dic 2019, 19:38

VPN no puede acceder a VLan

Mensaje por juanvidal_it » 02 Dic 2019, 19:55

Saludos
Llevo algunos dias con este error, agradezco su colaboracion.

Tengo una VPN site to site entre un fortigate 80c y un fortiget 30E.
La Vpn esta funcionando bien.
El sitio A puede hacer ping a las IP del Sitio B y del sitio B puedo hacer ping a la vlan de servidores del sitio A.
Sin embargo desde el sitio B no puedo acceder a la VLan de Telefonia del sitio A, por tal razon los telefonos del Sitio B no se registran
La tengo con la misma politica de enrrutamiento que la vlan de servidores pero no funciona.

Tambien antes podia acceder por la ip publica al fortigate del sitio B y ahora ya no puedo, adicional veo una VPN SSL con un segmeento 10.10.X.X pero ni idea de eso.

Alguna sugerencias masters???

Avatar de Usuario
makco10
Mensajes: 1049
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN no puede acceder a VLan

Mensaje por makco10 » 02 Dic 2019, 21:59

Hola,

¿La vlan de telefonia se encuentra en el mismo segmento de la red permitida del sitio A?

Si no es asi entonces tienes que declararla / permitirla en el direccionamiento de origen en la VPN del Fortigate del sitio A y luego en el direccionamiento destino en el Fortigate del sitio B.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

juanvidal_it
Mensajes: 7
Registrado: 02 Dic 2019, 19:38

Re: VPN no puede acceder a VLan

Mensaje por juanvidal_it » 03 Dic 2019, 22:34

gracias por la respuesta no habia visto.
en el sitio A tengo
Vlan server 192.168.0.x
Vlan Telefonia 192.168.5.x

Sitio B solo tengo vlan usuarios 192.168.60.X
y en este fortinet tengo un grupo de direcciones que son los dos segmentos del Sitio A pero solo funciona la vlan de los servidores

Podrias ponerme un ejemplo de lo que dices?? te agradecesco

Avatar de Usuario
makco10
Mensajes: 1049
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN no puede acceder a VLan

Mensaje por makco10 » 04 Dic 2019, 00:08

Hola,

¿Puedes compartir capturas de como tienes configurada la vpn en ambos sitios?

Si no comparte el resultado del siguiente comando desde el cli del equipo:

config vpn ipsec phase1-interface (enter)
show (enter)

config vpn ipsec phase2-interface (enter)
show (enter)

Comparte los datos nada mas de la vpn en cuestión y esconde la ip publica mostrada al copiar el texto.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

juanvidal_it
Mensajes: 7
Registrado: 02 Dic 2019, 19:38

Re: VPN no puede acceder a VLan

Mensaje por juanvidal_it » 04 Dic 2019, 07:18

SITIO A

edit "VpnBogota"
--More-- set interface "wan2"
--More-- set comments "VPN: VpnBogota (Created by VPN wizard)"
--More-- set remote-gw 189.x.x.x
--More-- set psksecret ENC Ho+lVXGSrUmOj+IrCpfzvmPvrvFfWfhuUbOMhZ7Bttd+f9Ax3AYfJsU1pbwd/Xy9vQAsmUVNGnzKXoiMLVPGehGkj16aQziU6vRT0buLxX6Mra9k9cT0Na25pTf7fOBPS3IN4Lm0kXlw5QjbHh3CHRY97gmQrUz3VNit24XLahKfwQ9Z1eUmlkvRi9Sg9WtD1/Mp6A==
--More-- next

edit "VpnBogota"
set phase1name "VpnBogota"
set comments "VPN: VpnBogota (Created by VPN wizard)"
set src-subnet 192.168.0.0 255.255.255.0
set dst-subnet 192.168.60.0 255.255.255.0

edit "Telefonia-Bogota"
set phase1name "VpnBogota"
set comments "Acceso desde bogota a Telefonia"
set src-subnet 192.168.5.0 255.255.255.0
set dst-subnet 192.168.60.0 255.255.255.0

juanvidal_it
Mensajes: 7
Registrado: 02 Dic 2019, 19:38

Re: VPN no puede acceder a VLan

Mensaje por juanvidal_it » 04 Dic 2019, 07:37

Sitio B

config vpn ipsec phase1-interface
edit "vpncali"
set interface "wan"
set peertype any
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set comments "VPN: vpncali (Created by VPN wizard)"
set wizard-type static-fortigate
set remote-gw 200.X.X.X
set psksecret ENC B5/UYWtzO0TJ2qbjVhJQ3ACdiLNR8uPlMzCHn+BX0vwdXL2T6qogGwDjsTK2pH7qvl9o01JZeN4Qv1sKAADjwKru7+E/9jSPb==
next

config vpn ipsec phase2-interface
edit "vpncali"
set phase1name "vpncali"
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
set comments "VPN: vpncali (Created by VPN wizard)"
set src-addr-type name
set dst-addr-type name
set src-name "vpncali_local"
set dst-name "vpncali_remote"
next
end

# show firewall address Servers-Cali
config firewall address
edit "Servers-Cali"
set uuid d66b45ee-4a95-51e9-fe42-76759264b855
set color 2
set allow-routing enable
set subnet 192.168.0.0 255.255.255.0
next
end


# show firewall address Telefonia-Cali
config firewall address
edit "Telefonia-Cali"
set uuid d6774916-4a95-51e9-5159-97fd19a31029
set color 9
set allow-routing enable
set subnet 192.168.5.0 255.255.255.0
next
end

juanvidal_it
Mensajes: 7
Registrado: 02 Dic 2019, 19:38

Re: VPN no puede acceder a VLan

Mensaje por juanvidal_it » 04 Dic 2019, 07:38

Recuerda que el trafico de la vlan de los servidores entre el sitio A y B funciona con normalidad

juanvidal_it
Mensajes: 7
Registrado: 02 Dic 2019, 19:38

Re: VPN no puede acceder a VLan

Mensaje por juanvidal_it » 04 Dic 2019, 11:03

Hola
He descubierto que si tengo acceso a los telefonos IP en mi vlan de telefonia.
Lo que no tengo es acceso al servidor de telefonia, pero el firewall lo tengo abajo

juanvidal_it
Mensajes: 7
Registrado: 02 Dic 2019, 19:38

Re: VPN no puede acceder a VLan

Mensaje por juanvidal_it » 04 Dic 2019, 12:15

Hola ya lo resolví
era algo en la política y debía adicionar el segmento del sitio B a la politica
Muchas gracias por tu colaboracion

Avatar de Usuario
makco10
Mensajes: 1049
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN no puede acceder a VLan

Mensaje por makco10 » 04 Dic 2019, 15:12

Hola Juan,

Que bueno que lograste solventar.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Responder