Problema de configuracion "Quick Mode Selector"
Publicado: 12 Oct 2010, 19:16
Estimados, ante todo hola, es mi primer post y soy nuevo en el foro, si bien ya me han solucionado mas de un problema con sus posts, es la primera vez que habro uno yo.
Paso a comentarles mi inconveniente.
Tengo un tunel Ipsec entre un Fortigate 100A y un Cisco ASA5520
Mi empresa solo necesita enviar encriptada en el tune la LAN 172.16.0.0/22
En cambio el cliente tiene 2 Lan, que serian 70.101.0.0/16 y 10.1.11.0/24
Yo en mi Phase 2 debi especificarle via CLI, que en vez de una direccion de red como Destination address, lo haga con un grupo, ese grupo contiene las 2 Lan de mi cliente.
Sin embargo, solo envia a travez del tunel trafico hace un solo destino a la vez, mas alla de que los 2 grupos esten configurados.
Ejemplo: Si en el grupo dejo solo una de las redes, funciona perfectamente, si pongo las 2 redes, solo me funciona uno, por lo que he visto, solo toma la red que esta configurada primero.
He modificado la Policy del tunel IPsec, haciendo cambios tambien en los grupos, pero sin tener exito.
Yo lo que necesitaria es que el tunel VPN funcione con 2 destination address configuradas para que encripe el trafico y lo envie por el tune hacia las 2 redes de mi cliente.
Aca abajo esta lo que he hecho para configurar la Destination Address por linea de comando, la imagen que esta ahi no es mi configuracion si no la de la nota que encontre. Veo que en el ejemplo de ellos tiene el PFS desactivado, tendra algo que ver?
Si alguno me puede ayudar se lo agradeceria muchisimo.
Saludos,
1.In the GUI define the local and remote subnets for the VPN
2.Group local and remote subnets into separate address groups (e.g. "encdom-local-remote" and "encdom-remote-local")
3.On the CLI
•# config vpn ipsec phase2 (or #config vpn ipsec phase2-interface if you are using interface mode)
•# set src-addr-type name
•# set src-name encdom-local-remote (the address group containing your local subnets)
•# set dst-addr-type name
•# set dst-name encdom-remote-local (the address group containing the remote subnets)
•# end
You should end up with the following. Notice that you cannot edit the Quick Mode selectors. You have to unset the advanced options back in the CLI.
Paso a comentarles mi inconveniente.
Tengo un tunel Ipsec entre un Fortigate 100A y un Cisco ASA5520
Mi empresa solo necesita enviar encriptada en el tune la LAN 172.16.0.0/22
En cambio el cliente tiene 2 Lan, que serian 70.101.0.0/16 y 10.1.11.0/24
Yo en mi Phase 2 debi especificarle via CLI, que en vez de una direccion de red como Destination address, lo haga con un grupo, ese grupo contiene las 2 Lan de mi cliente.
Sin embargo, solo envia a travez del tunel trafico hace un solo destino a la vez, mas alla de que los 2 grupos esten configurados.
Ejemplo: Si en el grupo dejo solo una de las redes, funciona perfectamente, si pongo las 2 redes, solo me funciona uno, por lo que he visto, solo toma la red que esta configurada primero.
He modificado la Policy del tunel IPsec, haciendo cambios tambien en los grupos, pero sin tener exito.
Yo lo que necesitaria es que el tunel VPN funcione con 2 destination address configuradas para que encripe el trafico y lo envie por el tune hacia las 2 redes de mi cliente.
Aca abajo esta lo que he hecho para configurar la Destination Address por linea de comando, la imagen que esta ahi no es mi configuracion si no la de la nota que encontre. Veo que en el ejemplo de ellos tiene el PFS desactivado, tendra algo que ver?
Si alguno me puede ayudar se lo agradeceria muchisimo.
Saludos,
1.In the GUI define the local and remote subnets for the VPN
2.Group local and remote subnets into separate address groups (e.g. "encdom-local-remote" and "encdom-remote-local")
3.On the CLI
•# config vpn ipsec phase2 (or #config vpn ipsec phase2-interface if you are using interface mode)
•# set src-addr-type name
•# set src-name encdom-local-remote (the address group containing your local subnets)
•# set dst-addr-type name
•# set dst-name encdom-remote-local (the address group containing the remote subnets)
•# end
You should end up with the following. Notice that you cannot edit the Quick Mode selectors. You have to unset the advanced options back in the CLI.
