Problema con VPN site to site entre Fortigate y pfsense

[bytebit]

Hola a todos!! Necesito vuestra ayuda!. Os explico:

Necesito crear una VPN IPsec site to site a través de un fortigate 60D con firmware 6.0.6 y un pfsense 2.4.5. Consigo establecer la VPN, pero la comunicación no es bidireccional, es decir, desde la LAN que está por detrás del pfsense (192.168.214.0 /24) consigo ver la LANl que está por detrás del fortigate (192.168.211.0/24), pero no al revés.

Llevo varios días intentando averiguar el motivo, pero no consigo identificar el problema

Os adelanto que llevo poco tiempo trasteando con fortigate y pfsense y no soy un virtuoso de la redes…

También deciros que tanto el fortigate como pfsense se conectan a internet a través de los routers suministrados por el ISP. Estos routers no tienen modo bridge, por lo que he activado la configuración DMZ de cada router asignando la ip de la interface WAN de de fortigate i pfsense

Os dejo un esquema del escenario:



Configuración VPN del fortigate:







Políticas creadas:







Ruta Estática:



Configuración de VPN en PFSense:



En Peer identifier debo definir la IP WAN asignada a fortigate para que se establezca la comunicación VPN:





Como comentaba antes, si hago un ping desde la LAN de pfsense (192.168.214.0 /24) a la LAN de fortigate (192.168.211.0 /24), recibo respuesta, pero no ocurre lo mismo si realizo el ping desde la LAN de fortigate a la LAN de pfsense (hago pings a las IP's de las interfaces LAN de fortigate y pfsense, es decir, a 192.168.211.1 y 192.168.214.1)



Si hago un tracert desde la LAN del fortigate hacia la LAN de pfsense, no determina la ruta para llegar a la LAN de pfsense:



Os agradecería que alguien me pudiera arrojar luz a este tema. Muchas gracias!!

[AndresW]

Hola, cuando corres un sniffer en la interfaz túnel del FortiGate ves entrar ese tráfico hacia la LAN por el extremo del pfSense (192.168.214.0/24)?.

Es extraño, puesto que por alguna razón no está aplicando la ruta estática y el tráfico se está yendo por el default gateway y no por la VPN.

¿Podrías enviar el estado del SA por el lado del FG?.

Saludos,

[Keper]

Hola tengo un problema similar pudieron solucionar esto y de que manera?

[AndresW]

Nunca contestó la persona que hizo la pregunta. ¿Tu problema puntualmente cuál es?.

[Keper]

Exactamente el mismo que el, tengo comunicación de la LAN del pfsense al la LAN del fortigate pero de la LAN del fortigate no se comunica nada a la del pfsense

[AndresW]

¿Qué tipo de túnel IPSec configuraste policy-based o routed?.

[Keper]

el tunel es ipsec y tiene policy-based

[AndresW]

Te recomiendo utilizar route-based en este caso.

[Keper]

no sigue sin poder hacer conexión la lan de forti con la del pfsense

[AndresW]

¿Y si corres un traceroute hacia dónde se enruta el tráfico?.

La verdad es que sin mayores antecedentes es difícil poder orientarte, no obstante podría recomendarte que revises debugs, logs y hagas un sniffer en la interfaz IPSec.

[Keper]

Hola de echo ya lo hice jalar el problema estaba en una regla de pfsense que esta mal estructurada

[arkus95]

Imposible establecer conexión VPN (-8)

La VPN estaba trabajando bien, pero ahora me sale ese mensaje y no me deja
conectar.
Me pueden ayudar para saber que solución tiene este error

[AndresW]

Primero que todo, tu pregunta no tiene relación con el post original, ya que este trata de un túnel IPSec site to site. Además que es muy vago todo lo que indicas, puesto que el error en si no dice nada muy concreto, tampoco especificas qué tipo de VPN móvil estás utilizando.

El que esta haya estado funcionando previamente tampoco aclara absolutamente nada.

Si tienes acceso al FortiGate podrías averiguar qué está ocurriendo conectándote a través de SSH o consola, y ejecutar los siguientes comandos mientras intentas conectarte a la VPN.

SSL
diag debug application sslvpnd -1
diag debug enable

IPSec
diag debug application ike -1
diag debug enable

Una vez que recolectes la información requerida, para detener el debug:

diag debug disa

Imposible establecer conexión VPN (-8)

La VPN estaba trabajando bien, pero ahora me sale ese mensaje y no me deja
conectar.
Me pueden ayudar para saber que solución tiene este error

[juancho344]

A mí también me gustaría resolver el mismo problema.

[AndresW]

Hola,

¿Cuál problema, el de la VPN IPsec entre un FortiGate y Pfsense o la conexión a una VPN SSL?.