NAT Outbound via VPN IPSec

[a.valentin]

Hola a todos

Les platico mi requerimiento, tengo 2 Fortigates 60B conectados por VPN IPSec por politica (no interface), todo esta bien con el tunel, solo que es necesidad de hacer posible que de lado US 192.168.10.x/24 pueda llegar a la red DE 172.16.32.0/24 (adjunto diagrama), halle que puedo hacerlo y me guie sobre el documento [Debes identificarte para poder ver enlaces.] ,solo que no logro hacer NAT Outbound, ésta es mi política del lado MX 172.16.10.x/24

set srcintf "internal"
set dstintf "dmz"
set srcaddr "Local"
set dstaddr "Remota"
set action ipsec
set schedule "always"
set service "ANY"
set natip 10.10.50.0 255.255.255.0 <-- Con esta red estoy intentando hacer el NAT
set inbound enable
set outbound enable
set natoutbound enable
set vpntunnel "Fase1"

En la creación del tunel en la Fase2 en quick mode selector configuro como fuente la red con la que hare NAT y destino la red del lado US

Algun tip ?

De antemano gracias....

[gabyrossi]

Hola, como estas?
porque necesitas hacer el nat con esa red?

saludos

[a.valentin]

Que tal

La razón se debe a que en la red DE 172.16.32.0/24 existe la aplicación SAP y no es accesible via VPN o por algun otro medio que no sea por los enlaces dedicados que estan para conformar la WAN de la corporacion y solo por rutas estaticas en el fortigate puedo llegar a esa red pasando por el ruteador cisco 172.16.10.5/24.

Saludos y sigo intentanto....

Gracias

[a.valentin]

Hola ...

Solo para compartirles mi solucion a este caso, despues de darle muchas vueltas, lo que me resolvió el problema es lo siguiente:

1.- Crear VPN en modo interface
2.- Hacer uso de ips virtuales (VIP) para tráfico entrante
3.- Utilizar IP Pool para la salida NAT

Saludos y gracias a todos.....

[rpps2]

Perdona, podrías especificar un poco más tu solución, estoy tratando de hacer NAT también, pero cuando configuro una politica con IPSEC no deja poner el ip pool. Lo que necesito es que desde nuestra subred (192.168.2.0/24) cuando se intente acceder a la de ellos (192.168.100.0/24) no lo haga con el rango (192.168.2.0/24) sino con el rango (192.168.5.0/24)
Tengo un fortigate 200A
Gracias

[gabyrossi]

Hola, porque hizo una vpn en modo interface, no modo policy.

saludos

[rpps2]

Y de hacerla en modo policy que habría que configurar? es que he probado con las instrucciones del manual y el túnel levanta correctamente pero no logro que nuestra red (192.168.2.0/24) se comunique con la que estamos haciendo el túnel (192.168.100.0/24). Alguien sabe como hacerlo?

Gracias

[gabyrossi]

hola, si la vpn levanta deberian llegar de un extremos a otro.

saludos

[rpps2]

gracias gabyrossi. Aún sigo sin poder ver las otra red, el tunel levanta, pero no logro ver la otra red, he seguido este ultimo tutorial
[Debes identificarte para poder ver enlaces.]

creo que el problema es que no hace bien el NAT

[gabyrossi]

Hola, hace una vpn en modo interface

info en:

[Debes identificarte para poder ver enlaces.]

saludos

[rpps2]

He hecho la VPN en modo interface, pero sigo sin poder acceder a la otra red, la he vuelto a crear en modo policy, marcando el natoutbound y asignandole el natip por el CLI, pero de esta manera ni siquiera levanta el tunel, si se lo quito, levanta el tunel pero no accedo a la otra red, si a alguien le ha pasado que por favor me ayude.

Muchas gracias

[gabyrossi]

hola, podrias mostrar la configuracion de la vpn? politicas y redes en cuestino?

saludos

[rpps2]

aqui está la configuracion:

config firewall address
edit "all"
next
edit "Red Interna"
set subnet 192.168.1.0 255.255.255.0
next
edit "Red Local empresa_externa"
set subnet 10.0.0.0 255.0.0.0

config vpn ipsec phase1
edit "Tunel"
set interface "wan1"
set dhgrp 2
set proposal 3des-md5
set remote-gw 19x.x.x.x
set psksecret ENC ********
next

config vpn ipsec phase2
edit "Tunel_F2"
set dhgrp 2
set pfs enable
set phase1name "Tunel"
set proposal 3des-md5
set replay enable
set dst-subnet 10.0.0.0 255.0.0.0
set keylifeseconds 3600
set src-subnet 10.10.14.8 255.255.255.252


config firewall policy
edit 21
set srcintf "internal"
set dstintf "wan1"
set srcaddr "Red Interna"
set dstaddr "Red Local empresa_externa"
set action ipsec
set schedule "always"
set service "ANY"
set logtraffic enable
set natip 10.10.14.8 255.255.255.252
set inbound enable
set outbound enable
set vpntunnel "Tunel"
next

En teoría es simple, quiero acceder desde nuestra red a la otra pero haciendo un nateo de nuestra ip 192.168.1.0/24 por 10.10.14.8/30, la red a la que quiero acceder es la 10.0.0.0/8

[gabyrossi]

hola, como estas?

porque el source de la phase 2 es set src-subnet 10.10.14.8 255.255.255.252???
cuando tu red interna es otra.

probaste en vez de hacer natip, hacer vpn en modo iunterface nateando alguna de las politicas?

saludos

[rpps2]

porque los que están del otro lado tienen configurado que nosotros irémos hacia allá con la subred 10.10.14.8/30 si no coloco esta subred no levanta el túnel, tal y como está levanta pero no puedo ver la otra red, como interface ya lo intenté pero tampoco iba, si tu sabes alguna manera mejor podrias ayudarme?

Gracias