Error en VPN "request is on the queue"

[franken]

Que tal Colegas, tengo una situacion en la que espero me iluminen:

Tengo un par de fortis
-100D
-50E

Los conecto con vpn "site to site" IPSEC, version de software 6.2, todo va bien hasta que llega el fin de semana y deja de haber envio de paquetes entre los sitios, entonces tenemos que los lunes la vpn esta inactiva, lo soluciono cambiando la llave pre-compartida y voala, la vpn se activa.

Pero hay ocasiones que esto no funciona, simplemente se activa en uno de los 2 fortis, mientras que en segundo se muestra enviando paquetes pero no recibe, esto desde el monitor ipsec, entonces los usuarios utilizan Forticlient, sin problema alguno, pero lo optimo es la conexión vpn

He tenido que rehacer las vpn en algunas ocasiones, ya que el problema no se soluciona por nada que haga.

Realizando un analisis con el Diagnose Debug obtuve esto:

FortiWiFi-50E # ike 0:Valles-AceroH: link fail 4 192.168.100.7->187.189.235.105:4500 dpd=2
ike 0:Valles-AceroH: link down 4 192.168.100.7->187.189.235.105:4500
ike 0:Valles-AceroH: deleting
ike 0:Valles-AceroH: flushing
ike 0:Valles-AceroH: deleting IPsec SA with SPI e2433df3
ike 0:Valles-AceroH:Valles-AceroH: deleted IPsec SA with SPI e2433df3, SA count: 0
ike 0:Valles-AceroH: sending SNMP tunnel DOWN trap for Valles-AceroH
ike 0:Valles-AceroH send IPsec SA delete, spi 5ef6ccfe
ike 0:Valles-AceroH enc C26F7D23C027DE647D2DE8A580F9F34108100501DC20F66E000000500C0000248774D0E521ECA3145568FAED78DD0143B0B14183CE4FA57AC42C5368F692A0A20000001000000001030400015EF6CCFE
ike 0:Valles-AceroH out C26F7D23C027DE647D2DE8A580F9F34108100501DC20F66E0000005C7165B4418CE7F7D285CA717A873B0115115911A27E9BDE18C999E84A9D87E11429BDCAD3D576C8974EADF485EB1BF61467F8993C94C6652EF34805D5AED58A69
ike 0:Valles-AceroH sent IKE msg (IPsec SA_DELETE-NOTIFY): 192.168.100.7:4500->187.189.235.105:4500, len=92, id=c26f7d23c027de64/7d2de8a580f9f341:dc20f66e
ike 0:Valles-AceroH:Valles-AceroH: sending SNMP tunnel DOWN trap
ike 0:Valles-AceroH: flushed
ike 0:Valles-AceroH send IKE SA delete c26f7d23c027de64/7d2de8a580f9f341
ike 0:Valles-AceroH enc C26F7D23C027DE647D2DE8A580F9F341081005017F561A540000005C0C0000249932A47F829CAE58EBCB9AF4CAACD9652DE067339B24EE19D302EC74908C3D610000001C0000000101100001C26F7D23C027DE647D2DE8A580F9F341
ike 0:Valles-AceroH out C26F7D23C027DE647D2DE8A580F9F341081005017F561A540000006CF3745F4056627992D5279C6A3CA809225FF76716970E54CCC89E6FFFB2046D14C53EFB368D98870B6EC15265C03E132FFC9991B66033FD1A852EF645C4BFB73041EABB7C97FC6A7329095DB5E07465E4
ike 0:Valles-AceroH sent IKE msg (ISAKMP SA DELETE-NOTIFY): 192.168.100.7:4500->187.189.235.105:4500, len=108, id=c26f7d23c027de64/7d2de8a580f9f341:7f561a54
ike 0:Valles-AceroH: schedule auto-negotiate
ike 0:Valles-AceroH: reset NAT-T
ike 0:Valles-AceroH: deleted
ike 0:Valles-AceroH: set oper down
ike 0:Valles-AceroH: carrier down
ike 0: cache rebuild start
ike 0:Valles-AceroH: sending DNS request for remote peer armaselcolli.fortiddns.com
ike 0: cache rebuild done
ike 0: DNS response received for remote gateway armaselcolli.fortiddns.com
ike 0: DNS armaselcolli.fortiddns.com -> 187.189.235.105
ike 0:Valles-AceroH: 'armaselcolli.fortiddns.com' resolved to 187.189.235.105
ike 0:Valles-AceroH: set remote-gw 187.189.235.105
ike 0: cache rebuild start
ike 0:Valles-AceroH: cached as static-ddns
ike 0: cache rebuild done
ike 0:Valles-AceroH: auto-negotiate connection
ike 0:Valles-AceroH: created connection: 0x44b97c8 4 192.168.100.7->187.189.235.105:500.
ike 0:Valles-AceroH initiator: main mode is sending 1st message...
ike 0:Valles-AceroH cookie 32c0b7623726c9d9/0000000000000000
ike 0:Valles-AceroH out

y continua....

La configuracion la he probado directamente con ip publicas y con dns, teniendo el mismo resultado, se desconecta un dia y ya no se vuelve a conectar hasta hacer un cambio o re-hacer la vpn directamente.

Alguna idea?...

Gracias por leer!

[makco10]

Hola,

Debes activar el keep alive: [Debes identificarte para poder ver enlaces.]

Saludos.

[franken]

Gracias!!

Ya probé el cambio, modificando la VPN y volviendola a hacer

Se logra conectar pero el problema persiste, adjunto imagen 1 Forti 50E ver.6.2, no recibe paquetes, imagen 2 Forti 100D envia y recibe( )

Si hago ping del 50E a la ip publica del 100D responde, pero visceversa no, podria esto significar un problema externo con el proveedor de internet?

[makco10]

Hola,

La VPN no es tipo dialup verdad, es decir tienes comunicación en ambas direcciones, osea los equipos de acero ven los equipos de valles y vicersa.

Normalmente en estos casos la vpn se auto activa al requerir el trafico configurado en el tunel pero al mantener el keepalive siempre deberia de permanecer activa.

puedes mostrar la config de los siguientes comandos:

config vpn ipsec phase1-interface
show
config vpn ipsec phase2-interface
show

saludos.

[franken]

En efecto, no son dialup, hubo ocasiones anteriormente que la vpn se activaba por si sola....

Duda, se puede ejecutar el comando para validar únicamente las vpn en cuestión? algo como "config vpn ipsec phase1-interface NOMBREDELAVPN"

Esto para no hacer muy largo el post.

[makco10]

Hola, si debes escoger el tunel independiente, solamente comparte la información del tunel que compartiste en las capturas.

*Esconde las ip´s publicas.

Saludos.

[franken]

Info del 100D

Phase1
edit "AceroH-Valles"
set interface "wan1"
set peertype any
set net-device enable
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set comments "VPN: AceroH-Valles (Created by VPN wizard)"
set dhgrp 18 14
set remote-gw x.x.x.x
set psksecret ENC
edit "AceroH-Valles"
set phase1name "AceroH-Valles"
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
set auto-negotiate enable
set comments "VPN: AceroH-Valles (Created by VPN wizard)"
set src-addr-type name
set dst-addr-type name
set src-name "AceroH-Valles_local"
set dst-name "AceroH-Valles_remote"
next

Phase2
edit "AceroH-Valles"
set phase1name "AceroH-Valles"
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
set auto-negotiate enable
set comments "VPN: AceroH-Valles (Created by VPN wizard)"
set src-addr-type name
set dst-addr-type name
set src-name "AceroH-Valles_local"
set dst-name "AceroH-Valles_remote"
next

Info del 50E

Phase1
edit "Valles-AceroH"
set interface "wan1"
set peertype any
set net-device disable
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set comments "VPN: Valles-AceroH (Created by VPN wizard)"
set dhgrp 18 14
set remote-gw x.x.x.x
set psksecret ENC xxxxxxxx ==
--More-- next
End

Phase2
edit "Valles-AceroH"
set phase1name "Valles-AceroH"
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
set auto-negotiate enable
set comments "VPN: Valles-AceroH (Created by VPN wizard)"
set src-addr-type name
set dst-addr-type name
set src-name "Valles-AceroH_local"
set dst-name "Valles-AceroH_remote"
next


Estos son los resultados...

[makco10]

Hola,

Si te fijas en la phase 1 AceroH tienes la autonegociación habilitada pero en valle no, habilitala.

Luego en ambos fortigates en la phase 2 habilita el keep alive:

set keepalive enable

Saludos

[franken]

Luego de realizar el cambio y reiniciar el equipo físicamente, no conectaba, se tuvo que aplicar PING desde ambos lados para forzar la conectividad y voala!

Igual mantendré bajo observación la VPN y cualquier novedad os haré saber

Gracias por la ayuda!!