Problema con DHCP-IPSEC
Publicado: 07 Feb 2008, 18:08
Buenos dias a todos,
Estoy teniendo un probelma con el establecimiento de las VPN desde un cliente Forticlient version 3.0.473 contra un Fortigate "Fortigate-200A 3.00-b0572(MR5 Patch 4)".
Tengo un grupo de FortiClients instalados desde los cuales se debe de abrir una conexion VPN IPSEC contra el Fortigate.
El problema es qeu cuendo los equipo con los FortiClients se encuentran detras de un router haceindo VPN establecen toda la negociacion del tunel pero cuando tratan de obtener la direccion IP fallan.
A nivel del Fortigate levante la captura de los paqeutes de la negociacion DHCP usando :
diag sniff packet any 'udp port 67 or udp port 68' 6
Y aparecen lo paquetes hacia ambos sentidos por ejemplo:
46.698770 wan2 in 192.168.254.100.68 -> 255.255.255.255.67: udp 300
48.651318 wan2 out 200.40.145.161.67 -> 192.168.254.100.68: udp 300
Lo cual pasa varias veces hasta que el cleinte deciste la conexion reportando:
program=ipsec msg=loc_ip=192.168.254.100 loc_port=4500 rem_ip=200.40.145.161 rem_port=500 out_if=0 vpn_tunnel=GeocomWan2 status=negotiate_error msg="Failed to acquire an IP address"
Lo raro es que esa misma maquina conectada en forma directa a internet funciona barbaro.
Tanto en el cliente como en el fortigate esta habilitado el Nat Traversal.
Si yo asigno fija una ip al cleinte del Forticlient en lugar de que tome por DHCP funciona sin probemas.
Alguna sugerencia de que puede estar pasando con el DHCP-IPSEC?
Desde ya muchas gracias a todos
Pedro
Estoy teniendo un probelma con el establecimiento de las VPN desde un cliente Forticlient version 3.0.473 contra un Fortigate "Fortigate-200A 3.00-b0572(MR5 Patch 4)".
Tengo un grupo de FortiClients instalados desde los cuales se debe de abrir una conexion VPN IPSEC contra el Fortigate.
El problema es qeu cuendo los equipo con los FortiClients se encuentran detras de un router haceindo VPN establecen toda la negociacion del tunel pero cuando tratan de obtener la direccion IP fallan.
A nivel del Fortigate levante la captura de los paqeutes de la negociacion DHCP usando :
diag sniff packet any 'udp port 67 or udp port 68' 6
Y aparecen lo paquetes hacia ambos sentidos por ejemplo:
46.698770 wan2 in 192.168.254.100.68 -> 255.255.255.255.67: udp 300
48.651318 wan2 out 200.40.145.161.67 -> 192.168.254.100.68: udp 300
Lo cual pasa varias veces hasta que el cleinte deciste la conexion reportando:
program=ipsec msg=loc_ip=192.168.254.100 loc_port=4500 rem_ip=200.40.145.161 rem_port=500 out_if=0 vpn_tunnel=GeocomWan2 status=negotiate_error msg="Failed to acquire an IP address"
Lo raro es que esa misma maquina conectada en forma directa a internet funciona barbaro.
Tanto en el cliente como en el fortigate esta habilitado el Nat Traversal.
Si yo asigno fija una ip al cleinte del Forticlient en lugar de que tome por DHCP funciona sin probemas.
Alguna sugerencia de que puede estar pasando con el DHCP-IPSEC?
Desde ya muchas gracias a todos
Pedro