Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

VPN-IPsec no contecta

https://www.fortigate.es/viewtopic.php?t=2949

Página 1 de 2

VPN-IPsec no contecta

Publicado: 12 Mar 2012, 13:30
por chusgus
Hola.
Tengo varios fortigate en distintas sedes con los router nateados y funcionando con VPN IPSEC en los fotis
Entre un firewall 60 y 60B falla, manteniendo conectadas otras vpn. Esta todo bien configurado y con el sniffer veo que solo hay trafico por el puerto 500 y en sentido salida (en los dos). El 60 y 60B tienen 3 vpn conectadas cada uno, y la 4º es la que no conecta, sio desconecto una tampoco conecta.
alguna idea?
gracias

Re: VPN-IPsec no contecta

Publicado: 12 Mar 2012, 19:34
por gabyrossi
hola, como estas?

y en el log que se ve? algun error?
todas son vpn contra fortigate? ip fijas contra ip fijas?


saludos

Re: VPN-IPsec no contecta

Publicado: 13 Mar 2012, 08:13
por chusgus
Hola.
Si, todas con ip fija con nat 4500 y 5000 al fortigate, las vpn se realizan con distintos modelos de fortigate. Otras funcionan perfectamente en lso mismos dispositivos.
En el log va por el 500

1 13/03/2012 8:07:06 notice negotiate Initiator: sent 79.148.96.x main mode message #1 (OK) 101023004 event ipsec success 2012-03-13 08:07:06 log_id=0101023004 type=event subtype=ipsec pri=notice vd=root loc_ip=10.199.6.2 loc_port=500 rem_ip=79.148.96.x rem_port=500 out_if="wan2" vpn_tunnel="BARNA" cookies=6c1612649b799a26/0000000000000000 action=negotiate init=local mode=main user="N/A" group="N/A" stage=1 dir=outbound status=success msg="Initiator: sent 79.148.96.x main mode message #1 (OK)"

2 13/03/2012 8:06:59 notice negotiate Initiator: sent 80.24.195.x main mode message #1 (OK) 101023004 event ipsec success 2012-03-13 08:06:59 log_id=0101023004 type=event subtype=ipsec pri=notice vd=root loc_ip=10.199.6.2 loc_port=500 rem_ip=80.24.195.x rem_port=500 out_if="wan2" vpn_tunnel="TABAZA" cookies=8ab34961af3cba95/0000000000000000 action=negotiate init=local mode=main user="N/A" group="N/A" stage=1 dir=outbound status=success msg="Initiator: sent 80.24.195.x main mode message #1 (OK)"

gracias

Re: VPN-IPsec no contecta

Publicado: 13 Mar 2012, 13:33
por gabyrossi
hola, podras mostrar lka config de la vpn?

saludos

Re: VPN-IPsec no contecta

Publicado: 14 Mar 2012, 08:21
por chusgus
Hola.
cual es el comando para sacar la config desde cli

gracias

Re: VPN-IPsec no contecta

Publicado: 22 Mar 2012, 14:08
por -LeX-
Hola, soy el compañero de Chusgus, os pongo la config de la VPN que nos falla:

Fase 1:
Main mode
Preshared Key
3DES - SHA1
DH 5
Keylife 172800
Xauth disable
NAT traversal SI
Keepalive 10 sec

Fase 2:

3DES - SHA1
Enable Replay Det SI
PFS SI
DH 5
Keylife 172500
Autokey keep alive SI

Hemos probado con y sin NAT, con y deadpeer detection, les hemos cambiado las claves compartidas, la autenticación por MD5... En ambas delegaciones tenemos otras VPNs configuradas con otras sedes y sólo nos falla entre estos dos 60 y 60B... Puede ser por alguna incompatibilidad de los Firmwares? O porque no puedan con "tantas" VPNs? tenemos 4 funcionando en cada uno...

Muchas gracias!
Saludos,

Re: VPN-IPsec no contecta

Publicado: 22 Mar 2012, 14:33
por gabyrossi
hola, podriass pasarme tal cual tenes la vpn phase1 y pahse 2?
hace un backup y pegar la parte de vpn.

de los 2 fortigate.,

saludos

Re: VPN-IPsec no contecta

Publicado: 22 Mar 2012, 16:02
por -LeX-
Aquí las tienes:

edit "BARNA"
set interface "wan2"
set nattraversal enable
set proposal 3des-sha1
set keylife 172800
set remote-gw ---.148.---.186
set psksecret ENC CU28Li65xyei/Tla6NlPx1rwR75KgRR9umzQKkqVmikP
config vpn ipsec phase2-interface
edit "tunel_BARNA"
set keepalive enable
set pfs enable
set phase1name "BARNA"
set proposal 3des-sha1
set replay enable
set dst-subnet 10.200.1.0 255.255.255.0
set keylifeseconds 172800
set src-subnet 10.200.6.0 255.255.255.0

edit "TARRAGONA"
set interface "wan2"
set nattraversal enable
set proposal 3des-sha1
set keylife 172800
set remote-gw ---.35.---.218
set psksecret ENC UfRSRBaExXUuyLUDD8ZG15JRiwHPf1VfOavip

edit "tunel_TARRAGONA"
set keepalive enable
set pfs enable
set phase1name "TARRAGONA"
set proposal 3des-sha1
set replay enable
set dst-subnet 10.200.6.0 255.255.255.0
set keylifeseconds 172800
set src-subnet 10.200.1.0 255.255.255.0


Muchas gracias!!
Saludos,

Re: VPN-IPsec no contecta

Publicado: 22 Mar 2012, 17:05
por gabyrossi
Hola, faltan datos....

Re: VPN-IPsec no contecta

Publicado: 22 Mar 2012, 17:22
por -LeX-
Lo he vuelto a sacar y lo pego de nuevo, aunque creo que estaba todo... ¿Qué te falta? (a parte de las ips públicas)

FORTI 1

config vpn ipsec phase1-interface
edit "BARNA"
set interface "wan2"
set nattraversal enable
set proposal 3des-sha1
set keylife 172800
set remote-gw ---.148.---.186
set psksecret ENC CU28Li65xyei/Tla6NlPx1rwRiwHKgRR9umzQKkqVmikP9NZ4aXsOxHLjSKXwXvxDUC5f/6Cvfph6Kzjw75G15JRoNs7amLS9G9T0hzQR7OWeJgf

config vpn ipsec phase2-interface
edit "tunel_BARNA"
set keepalive enable
set pfs enable
set phase1name "BARNA"
set proposal 3des-sha1
set replay enable
set dst-subnet 10.200.1.0 255.255.255.0
set keylifeseconds 172800
set src-subnet 10.200.6.0 255.255.255.0
next


FORTI 2

config vpn ipsec phase1-interface
edit "TARRAGONA"
set interface "wan2"
set nattraversal enable
set proposal 3des-sha1
set keylife 172800
set remote-gw ---.35.---.218
set psksecret ENC UfRSRBaExXUuy1VfOfGpLjk0YrELM98yidGYrGr/vW6A+nn5ZsnGp+OQ7MYw9pA+UhdRrspDlQLUDD8ZPf2avip28DIQ7vnvKyQ2psqDrp4tgFzI

config vpn ipsec phase2-interface
edit "tunel_TARRAGONA"
set keepalive enable
set pfs enable
set phase1name "TARRAGONA"
set proposal 3des-sha1
set replay enable
set dst-subnet 10.200.6.0 255.255.255.0
set keylifeseconds 172800
set src-subnet 10.200.1.0 255.255.255.0


Muchas gracias!
Saludos,

Re: VPN-IPsec no contecta

Publicado: 22 Mar 2012, 17:33
por gabyrossi
hola, seguramente tienen firmware diferente....
y muchas veces el default de un firmware eno es el mismo default que otro.

por ejemplo... DG Group, cual tiene?
que firmwate tienen?

probaste de hacerlo en modo agresivo? con local id en cada equipo

saludos

Re: VPN-IPsec no contecta

Publicado: 23 Mar 2012, 08:29
por -LeX-
Buenas!!

El DH Group está en 5.

Creemos que es problema de los firmwares y hemos planeado actualizarlos. El 60 tiene el 3.00 b0726(MR7) y el 60B el 3.00 b668(MR6 Patch2). El problema es que ibamos a actualizar todos los que tenemos a la versión 4.00 pero el FGT 60 se queda en la 3.00 (MR7 Patch10) así que no sé que haremos al final porque también tienen VPNs a otras sedes funcionando que no queremos que se caigan...

Probé en modo agresivo también y tampoco funcionan...

Alguna otra idea? :(

Muchas gracias!
Saludos,

Re: VPN-IPsec no contecta

Publicado: 23 Mar 2012, 13:08
por gabyrossi
hola, ok.

en el log que te muestra????

conectate por consola usando el hyperterminal, o por ssh usando algun soft qe te deje cuardar los comandosa en un archivo...

diagnose debug application ike -1
diagnose debug enable


y mostranos que te muestra sobre la vpn que no levanta

saludos

Re: VPN-IPsec no contecta

Publicado: 23 Mar 2012, 14:09
por -LeX-
Esto es lo que me ha aparecido en los dos:

0:BARNA:tunel_BARNA: IPsec SA connect 7 10.199.6.2->---.148.---.186:500, natt_mode=0
0:BARNA: using existing connection, dpd_fail=0
0:BARNA: found phase2 tunel_BARNA
0:BARNA:tunel_BARNA:178398 ignoring duplicate quick-mode request
.
.
.
0:BARNA:tunel_BARNA: IPsec SA connect 7 10.199.6.2->---.148.---.186:500, natt_mode=0
0:BARNA: using existing connection, dpd_fail=0
0:BARNA: found phase2 tunel_BARNA
0:BARNA:tunel_BARNA:178398 ignoring duplicate quick-mode request
.
.
.
0:BARNA:5014: ISAKMP SA negotiation of b39964f50f0efff9/0000000000000000 failed due to retry timeout
0:BARNA:5014: expiring ISAKMP SA b39964f50f0efff9/0000000000000000
0:BARNA: deleting
0:BARNA: flushing
0:BARNA: flushed
0:BARNA: deleted
.
.
.
0:BARNA:tunel_BARNA: IPsec SA connect 7 10.199.6.2->---.148.---.186:500, natt_mode=0
0:BARNA: found phase2 tunel_BARNA
0:BARNA: creating new connection
0:BARNA: created connection: 0x8c37778 7 10.199.6.2->---.148.---.186:500.
0:BARNA: new connection.
0:BARNA: IPsec SA connect 7 10.199.6.2->---.148.---.186:500 negotiating
0:BARNA: ISAKMP SA does not exist, queuing quick-mode request and initiating ISAKMP SA negotiation
0:BARNA:5015: initiator: main mode is sending 1st message...
0:BARNA:5015: cookie 0f8d42a6bdbd6917/0000000000000000
0:BARNA:5015: sent IKE msg (ident_i1send): 10.199.6.2:500->---.148.---.186:500, len=324
BARNA: Initiator: sent ---.148.---.186 main mode message #1 (OK)
0:BARNA:tunel_BARNA: IPsec SA connect 7 10.199.6.2->---.148.---.186:500, natt_mode=0
0:BARNA: using existing connection, dpd_fail=0
0:BARNA: found phase2 tunel_BARNA
0:BARNA:tunel_BARNA:178476 ignoring duplicate quick-mode request
.
.
.
0:BARNA:5015: sent IKE msg (P1_RETRANSMIT): 10.199.6.2:500->---.148.---.186:500, len=324
0:BARNA:tunel_BARNA: IPsec SA connect 7 10.199.6.2->---.148.---.186:500, natt_mode=0
0:BARNA: using existing connection, dpd_fail=0
0:BARNA: found phase2 tunel_BARNA
0:BARNA:tunel_BARNA:178476 ignoring duplicate quick-mode request
0:BARNA:5015: sent IKE msg (P1_RETRANSMIT): 10.199.6.2:500->---.148.---.186:500, len=324
.
.
.
0:BARNA:tunel_BARNA: IPsec SA connect 7 10.199.6.2->---.148.---.186:500, natt_mode=0
0:BARNA: using existing connection, dpd_fail=0
0:BARNA: found phase2 tunel_BARNA
0:BARNA:tunel_BARNA:178476 ignoring duplicate quick-mode request
0:BARNA:5015: sent IKE msg (P1_RETRANSMIT): 10.199.6.2:500->---.148.---.186:500, len=324


0:TARRAGONA:tunel_TARRAGONA: IPsec SA connect 2 10.198.1.2->---.35.---.218:500, natt_mode=0
0:TARRAGONA: found phase2 tunel_TARRAGONA
0:TARRAGONA: creating new connection
0:TARRAGONA: created connection: 0x8c384c8 2 10.198.1.2->---.35.---.218:500.
0:TARRAGONA: new connection.
0:TARRAGONA: IPsec SA connect 2 10.198.1.2->---.35.---.218:500 negotiating
0:TARRAGONA: ISAKMP SA does not exist, queuing quick-mode request and initiating ISAKMP SA negotiation
0:TARRAGONA:4810: initiator: main mode is sending 1st message...
0:TARRAGONA:4810: cookie 5cf59dfc4843fdf6/0000000000000000
0:TARRAGONA:4810: sent IKE msg (ident_i1send): 10.198.1.2:500->---.35.---.218:500, len=324
TARRAGONA: Initiator: sent ---.35.---.218 main mode message #1 (OK)

0:TARRAGONA:tunel_TARRAGONA: IPsec SA connect 2 10.198.1.2->---.35.---.218:500, natt_mode=0
0:TARRAGONA: using existing connection, dpd_fail=0
0:TARRAGONA: found phase2 tunel_TARRAGONA

0:TARRAGONA:4810: sent IKE msg (P1_RETRANSMIT): 10.198.1.2:500->---.35.---.218:500, len=324

0:TARRAGONA:tunel_TARRAGONA: IPsec SA connect 2 10.198.1.2->---.35.---.218:500, natt_mode=0
0:TARRAGONA: using existing connection, dpd_fail=0
0:TARRAGONA: found phase2 tunel_TARRAGONA

0:TARRAGONA:4810: sent IKE msg (P1_RETRANSMIT): 10.198.1.2:500->---.35.---.218:500, len=324

0:TARRAGONA:tunel_TARRAGONA: IPsec SA connect 2 10.198.1.2->---.35.---.218:500, natt_mode=0
0:TARRAGONA: using existing connection, dpd_fail=0
0:TARRAGONA: found phase2 tunel_TARRAGONA

0:TARRAGONA:tunel_TARRAGONA: IPsec SA connect 2 10.198.1.2->---.35.---.218:500, natt_mode=0
0:TARRAGONA: using existing connection, dpd_fail=0
0:TARRAGONA: found phase2 tunel_TARRAGONA

0:TARRAGONA:4810: sent IKE msg (P1_RETRANSMIT): 10.198.1.2:500->---.35.---.218:500, len=324
0:TARRAGONA:tunel_TARRAGONA: IPsec SA connect 2 10.198.1.2->---.35.---.218:500, natt_mode=0
0:TARRAGONA: using existing connection, dpd_fail=0
0:TARRAGONA: found phase2 tunel_TARRAGONA


Siento el ladrillo... El Forti 60B es el que empieza por 0:BARNA, y el otro es el 60.

Muchas gracias y buen fin de semana!!
Saludos,

Re: VPN-IPsec no contecta

Publicado: 23 Mar 2012, 14:17
por gabyrossi
hola, y las politicas de firewall estan armadas? como son?
Todos los horarios son UTC+02:00
Página 1 de 2

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España