Acceso SSL VPN Fortigate 80c

[Tecnician]

Hola a todos,

Acabo de adquirir un Fortigate 80c y estoy intentando configurar el acceso tanto por IPSEC como por SSL VPN, y algo me estoy dejando porque no hay manera de llegar a conectar a la Red Local desde el exterior. He estado revisando manuales etc, pero en ninguno encuentro los pasos a seguir para realizar estas conexiones. Tengo 2 ADSLs conectadas al Fortigate, una está en Monopuesto (IP dinámica) y la otra en Multipuesto (IP Estática). Desde el interface Internal navego correctamente por cualquiera de las 2 WAN.

Si alguien pudiera decirme qué pasos he de seguir para una correcta configuración y luego yo ya me espavilo (a ver si soy capaz) le estaría muy agradecido.

Un saludo

[gabyrossi]

Hola, como estas? sobre vpn ipsec y ssl yhay muchisima info.
que fue lo que miraste?

revisaste aca?
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

te recomiendo que mires la guia de ipsec con la de ssl y luego con algo mas puntual nos preguntes.
ya que por aca configurar todo eso seria muy largo.

saludos

[Tecnician]

Hola Gaby,

Muchas gracias por tu rápida respuesta. He estado fuera y no he podido estar por el tema durante estos días. Me reviso la documentación que me dices y te comento si funciona o no.



Un saludo

[gabyrossi]

hola, ok

saludos

[Tecnician]

Bueno, finalmente he llegado a un punto donde no sé lo que probar, ya que creo tenerlo todo bien configurado pero no se establece el túnel IPSEC. Os comento lo que he configurado a ver si me he dejado algo o lo he hecho mal...

Tengo conectado en WAN2 un router (172.16.0.2) con todos los puertos encaminados a la IP (interna) de WAN2 (172.16.0.1). El rango de IPs de la red local es 172.26.0.1-172.26.0.254 y la IP asignada a la interfaz INTERNAL 172.26.0.250.

También tengo creada la ruta estática: IP/Máscara-0.0.0.0/0.0.0.0 Gateway-172.16.0.2 Dispositivo-WAN2 y las políticas INTERNAL-WAN2 y WAN2-INTERNAL como ALL ALL ALWAYS ANY ACCEPT para poder navegar y me funciona perfectamente.


Lo que pretendo es poder conectar a mi red local desde cualquier lugar mediante FortiClient y lo que he configurado siguiendo una guia para ello es:


-En primer lugar he creado un rango de IPs para los Clientes (10.11.11.0/24).
-Seguidamente he activado un servidor DHCP en la interfaz WAN2 con rango 10.11.11.2-10.11.11.254 y como Default Gateway 10.11.11.1 y servidor DNS 172.26.0.250.
-Después he creado los usuarios y un grupo de usuarios (tipo Firewall) donde se encuentran los mismos llamado FortiClient.
-Una vez hecho esto he seguido creando la fase1 y fase2:
fase1 -> interfaz WAN2, modo Principal/main, autenticación Pre-shared key, accept any peer ID, Xauth como server y tipo Auto, User Group -> el creado en el paso anterior, NAT Traversal Enable y dead peed detection enable.
fase2 -> asociada con la fase1 creada. Enable replay detection, enable PFS, Autokey Keep Alive, DHCP-IPsec.
-He creado las siguientes políticas:
INTERNAL-LAN(172.26.0.1/24)-WAN2-Forticlient(grupo de usuarios creado)-always-any-IPSEC-VPN Tunnel(el de la fase1)-Allow inbound-Allow outbound.
INTERNAL-LAN-WAN2-all-always-DHCP-IPSEC-VPN Tunnel(el de la fase1)-Allow inbound-Allow outbound <--- esta política está la primera de todas.


Al intentar establecer el túnel con FortiClient se queda en espera y aparece el mensaje: "Feb 1 14:8:48: Initiator: sent (IP_PÚBLICA) aggressive mode message #1 (OK)" y ahí se queda, sin llegar siquiera a asignarme una IP.


Espero que se entienda y a ver si se os ocurre alguna idea o veis algo que he configurado mal.


Muchas gracias de antemano y disculpad el parrafón

[gabyrossi]

Hola, haber en el dhcp tildaste que sea para ipsec?

podrias pegar imagenes de la phase1?
y la config del fortliclient?

saludos

[Tecnician]

Hola, sí que tildé la opción IPSEC en el DHCP como verás a continuación.





Aquí pego una imagen de la fase1:





y las correspondientes al FortiClient...













Un saludo

[gabyrossi]

Hola, en el forti client el modo lo tenes agresivo y en la phase1 del fortitigate esta en modo main.
solo necesitas una politica de encript desde la interna a la wan en cuestion.
saludos

[Tecnician]

Hola de nuevo,

Tenía estas políticas creadas de la interna a la wan y me falla...







No sé si me falta alguna más.

Un saludo

[gabyrossi]

hola, la politica que muestras cual de las 3 es?

deberia ser la primera, de interna a all. encript

saludos

[Tecnician]

Hola,

La que muestro en el post anterior es la política número 5 (la del medio). La primera política es:



Un saludo

[gabyrossi]

Hola, la politica de vpn siempre va arriba de las demas.
saludos

[Tecnician]

Hola de nuevo,

Aunque ya tenía las políticas en primer lugar, he probado cambiando el orden de las mismas por si acaso, pero me ocurre lo mismo. Al hacer una prueba de conexión desde el PC Cliente obtengo lo siguiente:



In run_timer_list, jiffies=00000000, skipped = 0
tvecs[1]->bits is 3, tvecs[n]->index is 0
sys_get_local_gwy() called: [in] remote gw: 80.---.xx.xx. [in] Next hop: 0.0.0.0 (IP PÚBLICA)
sys_get_local_gwy() called: [in] remote gw: 80.---.xx.xx. [in] Next hop: 0.0.0.0
Detect local gateway for peer: 80.---.xx.xx
sys_get_local_gwy() called: [in] remote gw: 80.---.xx.xx. [in] Next hop: 0.0.0.0
sys_get_local_gwy() called: [in] remote gw: 80.---.xx.xx. [in] Next hop: 172.36.0.2 (IP del Router de WAN2)
Get sa_connect message...172.36.0.67->80.---.xx.xx:0, natt_mode=0 (IP PC Cliente)
Using new connection...natt_mode=0
Set connection name = VPN.
Adding timer #1... expiry=3600, data=27154848
Adding to bucket 3 at index 1
Tunnel 172.36.0.67 ---> 80.---.xx.xx:500,natt_en=1 is starting negotiation
Will negotiate a DHCP SA
Initiator: aggressive mode is sending 1st message...
Initiator:aggressive mode set dh=1536.
Sending DPD VID payloads....
Sending VID payload....
Sending NATT VID payload (draft3)....
Sending NATT VID payload (draft3 and draft1)....
Initiator: sent 80.---.xx.xx aggressive mode message #1 (OK)
Adding timer #2... expiry=28770, data=27156752
Adding to bucket 4 at index 1
set retransmit: st=1, timeout=10.
Adding timer #2... expiry=10, data=27156752
Adding to bucket 1 at index 10
Next_time = 10 sec

In run_timer_list, jiffies=0000000A, skipped = 10
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 15
Next_time = 5 sec

In run_timer_list, jiffies=0000000F, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 20
Next_time = 5 sec

In run_timer_list, jiffies=00000014, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 25
Next_time = 5 sec

In run_timer_list, jiffies=00000019, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 30
Next_time = 5 sec

In run_timer_list, jiffies=0000001E, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 35
Next_time = 5 sec

In run_timer_list, jiffies=00000023, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 40
Next_time = 5 sec

In run_timer_list, jiffies=00000028, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 45
Next_time = 5 sec

In run_timer_list, jiffies=0000002D, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 50
Next_time = 5 sec

In run_timer_list, jiffies=00000032, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 55
Next_time = 5 sec

In run_timer_list, jiffies=00000037, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 60
Next_time = 5 sec

In run_timer_list, jiffies=0000003C, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Adding timer #3... expiry=5, data=27156752
Adding to bucket 1 at index 65
Next_time = 5 sec

In run_timer_list, jiffies=00000041, skipped = 5
tvecs[1]->bits is 3, tvecs[n]->index is 0
No response from the peer, retransmit (st=1)....
set retransmit: st=1, timeout=5.
Adding timer #2... expiry=5, data=27156752
Adding to queue
Retransmit reaches maximum count (st=1)...delete it!
Next_time = 3535 sec


Creo que no llega a funcionar alguna de las políticas por algún motivo. A ver si se me ocurre alguna otra cosa para probar.

Un saludo

[gabyrossi]

Hola, solo necesitas una sola politica de encript para la vpn.

[Tecnician]

Hola de nuevo Gaby y gracias por tu atención.

Con una sola política de encript ocurre igual. Es como si no encontrara el Fortigate. Pero al poner la IP Pública en el navegador del PC Cliente me aparece la web de autenticación del Fortigate y puedo entrar a configurar, por lo que supongo estará bien.

El Fortigate lo tengo en modo NAT, y el ADSL de WAN2 en Multipuesto con todos los puertos dirigidos a la IP interna de la interfaz WAN2. Supongo que esto será correcto, ya que el operador no me puede configurar el Router en Monopuesto y creo que así lo tengo bien configurado.

Un saludo