Redireccionar tráfico WAN por una VPN IPSec

[cgonzalezr]

Buenas tardes,

Tengo un problema y no soy capaz de dar con la tecla, a ver si alguien puede echarme una manita. Os cuento:

Tenemos dos sedes en distintos lugares físicos. En cada una de ellas tenemos un fortigate 100C con dos salidas a internet configuradas, WAN1 y WAN2. Para la comunicación interna tenemos una VPN IPSec tirada entre ambas sedes y que sale en ambos casos por la WAN1. Funciona sin ningún problema desde hace tiempo y parece todo correcto.

Por otro lado, tenemos un cliente en el exterior cuya IP vamos a suponer que es 1.1.1.1 y a la cual sólo podemos acceder desde la salidas WAN2 de cada una de las sedes ya que ellos filtran por IP y darla de alta en sus sistemas es una auténtica pesadilla. Aunque estamos en proceso de que registren nuestras IPs de las bocas WAN1 de cada sede, se ha caído nuestra boca WAN2 en la Sede1 y no podemos acceder al servicio desde allí.
Mientras se soluciona, que puede ser cosa de unos días, he estado intentando redirigir el tráfico desde la Sede1 hacía Sede2 a través de la VPN para que pueda salir por la boca WAN2 de allí y así solucionar el problema de momento. El problema radica en que aunque creo estar haciendo bien la configuración, no soy capaz de acceder por lo que resulta obvio que algo no está funcionando.

Os cuento mi configuración actual para ver dónde puede radicar el problema:

En Sede1 tengo una ruta estática hacía 1.1.1.1/24 a través de la VPN. Las reglas del firewall actualmente las tengo en all-all. Es decir, que todo puede ir desde la red interna hacía la VPN.
En Sede2 tengo una política de ruta que indica que todo el tráfico que llegue por la VPN con destino 1.1.1.1 se envíe por WAN2 usando su gateway. En la regla del firewall más de lo mismo, todo permitido desde la VPN hacia cualquier lado.

Sé que esas políticas de firewall no son seguras, de hecho las tenía más restringidas, pero primero quiero hacerlo funcionar y luego voy restringiendo.

Si hago un tracert desde Sede1 hacía 1.1.1.1 veo que va hacia la otra sede, pero al llegar a su puerta de enlace pierdo la pista, es decir, que el tráfico en teoría llega a la Sede2, pero allí o bien no lo estoy enrutando bien, o el firewall lo filtra, o algo pasa.

Si alguien tiene alguna idea estaría enormemente agradecido.

Un saludo y gracias

[gabyrossi]

hola...
y que tenes en la phase2 como selectores?

[cgonzalezr]

hola...
y que tenes en la phase2 como selectores?

Gracias por contestar.

Entiendo que te refieres a la fase2 en la VPN. Te adjunto imagen con la configuración:



Saludos

[gabyrossi]

Hola, eso esta bien

en la sede donde deberia salir ese trafico.. probaste de sacarle el gw a la policy route?¡

la politica de navegacion esta armada?

vpn- wan

[cgonzalezr]

Hola, eso esta bien

en la sede donde deberia salir ese trafico.. probaste de sacarle el gw a la policy route?¡

la politica de navegacion esta armada?

vpn- wan

Buenas,

No entiendo bien lo de sacarle el gateway a la política, si te refieres a quitarle o cambiarle la puerta de enlace sí, lo he probado. De todas formas tengo otras políticas funcionando con esa WAN y con esa puerta de enlace y va sin problemas.

En cuanto a la política de navegación, supongo que te refieres a las reglas del firewall, no? Si es así sí, VPN -> WAN2 está habilitado para todos a todos sitios, ninguna restricción.

Gracias