Comunidad FORTIGATE.es

Hola a la comunidad!

Soy nuevo en el mundo de Forti y me ha tocado configurar una VPN IPsec. Al realizar el test, el otro lado comenta que no puede acceder a los equipos por SSH o RDP (en nuestra red hay equipos linux y windows). Se ha hecho un packet capture y puede verse que se reciben las peticiones, sin embargo el otro lado no consigue establecer la conexión con los equipos.

Adjunto un pdf con la configuración y con los resultados del wireshark.

Con esta información ¿se podría saber si el problema está en que se ha configurado algo mal en nuestra parte o si el problema viene del otro lado? ¿Puede faltarles a ellos la ruta estática para sus vueltas? Ellos no nos dan información sobre los resultados de la conexión en el otro lado

Muchas gracias de antemano. Es mi primera vez este trabajo y no tengo ayuda

A simple vista se ve todo correcto en el PDF a nivel de túnel IPSec, y más pareciese un problema local. Incluso el FAZ muestra que los paquetes desde 2 equipos distintos en 192.168.4.0/24 están llegando pero 172.31.110.6 simplemente los responde con un RST, por lo que descartaría algo con rutas.

Si te fijas, en el log del FAZ la columna Firewall Action indica server-rst. Hay veces en que las máquinas de destino tienen un firewall local que droppea por default todo el tráfico proveniente de órigenes distintos al segmento directamente conectado y se produce algo como lo que te está ocurriendo. Para validar que sea esto el inconveniente, te sugiero habilitar el NAT en la policy de abajo e intentar nuevamente.

Muchísimas gracias por tu respuesta...

Voy a ello

Hola de nuevo, y perdonad...

Quería comentar que quite todo lo relativo al FW Local de WINDOWS y en ahorro de energía puse la opción "Suspender" NUNCA

Por si a alguien se le ocurre que fuese por algún otro tipo de configuración local como bien comenta @AndresW

Gracias de nuevo

Buenos días:

Quería dar las gracias a toda la comunidad y especialmente a @AndresW, pues el me dio la pista de lo que pasaba. Efectivamente era por el NAT. En la phase 1 tenia activada la opción de NAT Trasversal. Quite esa opción y ya se empezaron a ver los equipos.

Muchas gracias a todos

Me alegro que hayas podido solucionar tu problema, y sobre todo recalcar tu último mensaje agradeciendo a la comunidad, ya que el 99% de los que vienen a preguntar algo acá, cuando les dan una solución jamás se toman el tiempo de al menos dar las gracias o comentar si les sirvió o no.