Comunidad FORTIGATE.es

Buenos días muchachos.

Les realizo la siguiente consulta, ya que no estoy logrando dar con una documentación actualizada para forti OS 5 patch 5 o 6. Lo que logro encontrar en la documentación oficial de fortigate no refleja las opciones que veo en el equipo fortigate.

En la rama 4.X puedo configurar la vpn-ipsec para acceso de clientes forti sin problemas. Pero en la 5 no logro dar con el procedimiento para que quede operativa.

Acepto cualquier tipo de ayuda/guía que me puedan brindar.

desde ya gracias.

hola, pudiste ver los videos?

[Debes identificarte para poder ver enlaces.]

con version 5 de fortigate, estas usando version 5 de forticlient? o es lan to lan?

Si, estuve mirando los vídeos y mismo leí la documentación de la web lamentablemente no lo veo nada claro.

Me encuentro utilizando la ultima versión del forticlient.

Es para conectar Lan to Client.

hola, podrias mostrar la config de la vpn y politicas?

buenas, envió adjuntos. si prefiere puedo enviar la config en comandos CLI.

El error que me aparece del lado del forticlient 5.

"status=negotiate_error No response from the peer, phase1 retransmit reaches maximum count"

saludos y gracias.

Envió información Obtenida por CLI creo es mas claro que lo anterior. Les adiciono los comando utilizados para que puedan utilizar de referencia
-----------------------------------------------
Obtener informacion configuracion CLI -
-----------------------------------------------
1_ show system interface -
2_ show firewall address 2phase-name" -
3_ show vpn ipsec phase1-interface -
4_ show vpn ipsec phase2-interface -
5_ show firewall policy -
6_ show router static -
---------------------------------------------------------------------------------------------------------
Firewal address vpn-ipsec
-------------------------------

show firewall address IPsec-Clients-Addr-WAN1
config firewall address
edit "IPsec-Clients-Addr-WAN1"
set type iprange
set end-ip 192.168.4.254
set start-ip 192.168.4.1
---------------------------------------------------------------------
Interface virtual IPsec
-----------------------

edit "ipsec-wan1"
set vdom "root"
set ip 169.254.1.1 255.255.255.255
set type tunnel
set remote-ip 169.254.1.1
set snmp-index 7
set interface "wan1"
-----------------------------------------------------------------------
phase1
------

config vpn ipsec phase1-interface
edit "ipsec-wan1"
set type dynamic
set interface "wan1"
set mode aggressive
set xauthtype auto
set mode-cfg enable
set proposal 3des-sha1 aes128-sha1
set authusrgrp "VPN-IPSEC"
set ipv4-start-ip 192.168.4.2
set ipv4-end-ip 192.168.4.254
set ipv4-netmask 255.255.255.0
set dns-mode auto
set ipv4-split-include "192.168.0.0-network"
set save-password enable
set client-auto-negotiate enable
set client-keep-alive enable
set psksecret ENC IHRvb4uy+iNs4U0oo7OcUDYIYzP64zePst+oaNAIZmFBZHZjfJft59mW2e/LM4QoJs2tIxuubpNb4T7f7PMjPWm5tciAnt9dEVGBkCr6hs4ZKRv82/qLpibh5mF1xT1VhxyUNamuA4Uar7c6AmOx5cIexft/N6RI8TlCO22yZDi8vejvBUSytD5kk+IyISK3zUkLuw==
-------------------------------------------------------------------------------------------------------------------
Phase2
--------

config vpn ipsec phase2-interface
edit "ipsec-wan1"
set phase1name "ipsec-wan1"
set proposal 3des-sha1 aes128-sha1
------------------------------------------------------------------------------------------------------------------
Ruta estatica (vpn-ipsec)
-------------

set comment "IPsec-Wan1"
set device "ipsec-wan1"
set dst 192.168.4.0 255.255.255.0
------------------------------------------------------------------------------------------------------------------
Politicas de firewal (vpn-ipsec)
--------------------

edit 9
set srcintf "ipsec-wan1"
set dstintf "internal1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set comments "VPN-IPSEC"

edit 12
set srcintf "internal1"
set dstintf "ipsec-wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
set comments "VPN-ipsec"
--------------------------------------------------------------------------------------------------------

hola, en el fortigate ves que tratan de levantar la vpn?
hiciste algun debug en el fortigate al momento de levantr la vpn desde el forticlient?

Hola.

Habilite el debug en el equipo forti. Pero no logro levantar informacion. No veo conexcion. Ni informacion de debug.

diagnose debug console timestamp enable
diagnose debug enable
diagnose debug appli ike -1
diag vpn ike filter ipsec-wan1

El problema del porque no hay comunicación con el phase 1 & phase 2 se debe al router del proveedor de internet. Si bien muetra abiertos los puertos upd 500 4500 1701. Este equipo no puede ser puesto en modo bridge y genera este inconveniente.
Voy a ver si cuenta con alguna otra opción que me permita utilizar vpn ipsec este mismo quipo.

Para validar esto, replique la configuración en otro enlace el cual si se encuentra con el modo bridge, con lo cual los pasos de la negociación ipsec funcionaron correctamente.

Lo que no me funciono es el ruteo a la red LAN, se conecta a la vpn, le asigna dirección ip del rango correcto a cliente forti 5 . Pero pierdo lo que es navegación y acceso a la red interna. Creo que me puede estar faltando alguna ruta estática. O alguna política. Si tienen alguna idea se agradece.

Saludos y gracias.

buen dia

en tu ultima respuesta no quedo clara la informacion para mi dices , primero como tienes configurado tu forti, porque comentas que tu modem no se puede hacer bridge, si este es el caso el problema es abrir los puertos del modem, ahora despues comentas que lo pasaste a otra conexion que si lo tienes bridge, si es asi no debes tener mucho problema, si , que modelo estas configurando, igual te dejo mi correo para verlo a detalle erick@soredi.mx, si estas haciendo una vpn ipsec site to client es realmente sencillo

site to client
[Debes identificarte para poder ver enlaces.]


site to site

[Debes identificarte para poder ver enlaces.]

cambia realmente poco

saludos