Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

Problema de envío de logs desde FortiGate por VPN

https://www.fortigate.es/viewtopic.php?t=219

Página 1 de 1

Problema de envío de logs desde FortiGate por VPN

Publicado: 22 Nov 2007, 23:21
por Jero
Salu2!!

Les comento por si me pueden ayudar, tengo una VPN Site-to-Site establecida entre dos Fortigate corriendo la versión 3.0, la VPN es "policy based" y funciona bien, el tunel se establece entre los peers y ambos lados se comunican.

El problema radica cuando quiero acceder desde uno de los fortigate a un FortyAnalyzer, al comunicarse el FortiGate usa la dirección de la interfaz externa y con este origen no viaja por el tunel, para probar esto hago la siguiente prueba:

* Cuando hago ping del FortiGate al FortiAnalyzer la petición no llega pues usa como origen la interfaz externa.

* Cuando hago ping del FortiGate al FortiAnalyzer pero forzando a usar como ip origen la interfaz interna, entonces funciona perfectamente ya que viaja por el tunel.

En Cisco supongo que usaría un policy map para forzar a usar como interfaz origen la interna, en FortiGate he encontrado la solución de usar VPN "routed based" creando interfaces ipsec, pero me gustaría conocer otra alternativa ya que entre otras cosas de momento no puedo cambiar el tunel.

Muchas gracias.

Re: Problema de envío de logs desde FortiGate por VPN

Publicado: 23 Nov 2007, 20:55
por gabyrossi
probaste con una policy route de la ip de fortigate al analyzer usando el puerto en cuestion (514)salga por la vpn ?

saludos

gabriel




Jero escribió:Salu2!!

Les comento por si me pueden ayudar, tengo una VPN Site-to-Site establecida entre dos Fortigate corriendo la versión 3.0, la VPN es "policy based" y funciona bien, el tunel se establece entre los peers y ambos lados se comunican.

El problema radica cuando quiero acceder desde uno de los fortigate a un FortyAnalyzer, al comunicarse el FortiGate usa la dirección de la interfaz externa y con este origen no viaja por el tunel, para probar esto hago la siguiente prueba:

* Cuando hago ping del FortiGate al FortiAnalyzer la petición no llega pues usa como origen la interfaz externa.

* Cuando hago ping del FortiGate al FortiAnalyzer pero forzando a usar como ip origen la interfaz interna, entonces funciona perfectamente ya que viaja por el tunel.

En Cisco supongo que usaría un policy map para forzar a usar como interfaz origen la interna, en FortiGate he encontrado la solución de usar VPN "routed based" creando interfaces ipsec, pero me gustaría conocer otra alternativa ya que entre otras cosas de momento no puedo cambiar el tunel.

Muchas gracias.

Publicado: 24 Nov 2007, 19:14
por Jero
Gracias por la respuesta, mira no me funciona pq el problema sq la IP que toma el fortigate es el de la interfaz externa y aunque lo pudiera forzar a pasar por la vpn tendría el problema en el otro lado. He mandado un ticket al support de FortiNet, cuando me respondan lo comento pq seguro a alguien le valdrá.
Gracias.
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España