Página 1 de 1
vpn ipsec entre 2 sedes
Publicado: 24 Ene 2014, 22:33
por gabrielmatau
Buenas tardes,
tengo una situacion les explico estableci un vpn ipsec entre 2 sedes al parecer todo va bien pero tengo un problema, El punto A puede ver sin problemas todo lo que esta en el punto B , pero el punto B no puede ver lo que esta en el punto A, he probado todo lo que se me ha ocurrido pero no he podido dar con el problema desde las policies hasta enrutamiento.
agradecido ante su valiosa ayuda.
Re: vpn ipsec entre 2 sedes
Publicado: 27 Ene 2014, 14:35
por gabyrossi
hola, usas doble wan? usas policy routes?
en los 2 sitios tenes la ruta estatica hacia la red remota?
saludos
Re: vpn ipsec entre 2 sedes
Publicado: 27 Ene 2014, 14:44
por gabrielmatau
Gracias por responder gabyrossi, en el sitio A si tengo 2 Wan y tengo la ruta estatica hacia la red remota, en el sitio B tengo una sola WAN y tambien tengo el enrutamiento estatico, ahora en el police route no tengo nada por lo que me mencionas intente agregar 1 police route desde mi red interna del sitio para obligar el trafico a travez de la interfaz ipsec pero no resulto del sitio A que es de donde tengo problemas.
como dato adicional el ipsec lo hice modo interfaz.
Re: vpn ipsec entre 2 sedes
Publicado: 27 Ene 2014, 14:50
por gabyrossi
hola, ok ... si no usas policy routes, si o si tenes ruta para cada red remota por la vpn.
las 2 wan estas haciendo algun balanceo?
las pc en cada sitio tienen como gw la ip de la interfaz interna del fortigate?
Re: vpn ipsec entre 2 sedes
Publicado: 27 Ene 2014, 15:05
por gabrielmatau
Hola! si en efecto la interfaces wan del sitio A estan balanceando spilover ambas WAN, en efecto el gw de mi segmento es el fortigate.
Re: vpn ipsec entre 2 sedes
Publicado: 27 Ene 2014, 15:36
por gabyrossi
y cuando haces un ping desde una pc.. en el fortigate esa session la ves correctamente ir por la politica de vpn, pero nunca llega a destino?
con un tracert que ves?
Re: vpn ipsec entre 2 sedes
Publicado: 27 Ene 2014, 15:59
por gabrielmatau
llega al fortigate del sitio b pero no tiene respuesta. que es lo que me extrana
Re: vpn ipsec entre 2 sedes
Publicado: 27 Ene 2014, 16:09
por gabyrossi
si nateas la politica wure va desde la vpn a la red interna en el sitio b?
Re: vpn ipsec entre 2 sedes
Publicado: 27 Ene 2014, 16:32
por gabrielmatau
no funciona
Re: vpn ipsec entre 2 sedes
Publicado: 27 Ene 2014, 19:30
por gabyrossi
y llegas a la interface interna del fortigate del lado b?
Re: vpn ipsec entre 2 sedes
Publicado: 13 Feb 2014, 15:12
por iescudero
Buenas hace lo siguiente
en los dos firewalls pone el siguiente comando en la consola:
diagnose sniffer packet any "host 192.168.1.1 and host 10.255.255.1 and icmp"
donde 192.168.1.1 es la ip de una pc de "Sitio A" y la 10.255.255.1 es la ip de "Sitio B". luego haces un ping desde el "Sitio B" hacia"Sitio A". En firewall del "sitio B" es casi seguro que veas el mensaje
3.575294 10.255.255.1 -> 192.168.1.1: icmp: echo request
Si en el "Sitio A" ves el mismo mensaje, significa que es este equipo el que te esta bloqueando el trafico, si en cambio muestra un mensaje de echo repply, significa que es el otro firewall.
En el equipo que te este bloqueando el trafico podes hacer este debug:
(ejemplo en firewall del "Sitio B"
diagnose debug flow filter daddr 192.168.1.1
diagnose debug flow filter saddr 10.255.255.1
diagnose debug flow proto 1
diagnose debug flow show trace start 1000
diagnose debug flow show console enable
diagnose debug enable
luego haces otra vez el ping y posteas el resultado, mas que esto para encontrar el problema no se me ocurre.
Aguardo tu respuesta
Saludos!