Hola
Quisiera crear una nueva configuración de VPN IPsec en un fortigate 40c, Los que nos instalaron el fortigate nos crearon una yo ya hice la configuracion y me queda igual pero no me deja conectar me marcar error de configuracion, o de clave compartida o de red qisiera saber donde puedo encontrar un manual de como crear una vpn en un fortigate 40c, he visto unos tutoriales pero son con diferentes fortigates como 60b, 60c y 110c pero trean opciones que no trae el 40c no se si puedan ayudarme a encontrar como crear una conf de vpn por que ya me urge le he estado moviendo pero nada.
de antemano Gracias!!!
saludos
Crear Nueva Configuración VPN IPsec
Re: Crear Nueva Configuración VPN IPsec
Buenas.
1) estas 100 % seguro de que en el otro extremo de la VPN la configuracion es exactamente igual de como la estas configurando vos?
2) es en modo interfaz?
3) tiene una politica creada?
4) hay alguna ruta para que el trafico vaya por la vpn?
5) si el tunel es modo interfaz, se crea una virtual a la que se le puede poner una IP y se configura desde config system interface.
Los pasos para crear una VPN en modo interfaz son los siguientes:
1) creas la fase 1
2) creas la fase 2
3) creas una ruta (no es estrictamente necesario debo decir)
4) creas una politica
Conta como fue.
Saludos
1) estas 100 % seguro de que en el otro extremo de la VPN la configuracion es exactamente igual de como la estas configurando vos?
2) es en modo interfaz?
3) tiene una politica creada?
4) hay alguna ruta para que el trafico vaya por la vpn?
5) si el tunel es modo interfaz, se crea una virtual a la que se le puede poner una IP y se configura desde config system interface.
Los pasos para crear una VPN en modo interfaz son los siguientes:
1) creas la fase 1
2) creas la fase 2
3) creas una ruta (no es estrictamente necesario debo decir)
4) creas una politica
Conta como fue.
Saludos
-
- Mensajes: 8
- Registrado: 10 Dic 2013, 21:34
Re: Crear Nueva Configuración VPN IPsec
Hola iescudero muchas gracias por responder aqui te dejo mis respuestas y nuevas preguntas
1.- si estoy 100% seguro
2.- si es modo interfaz( o subinterfaz ) por que en wan1 me aparecen junto con la otra vpn
3.- si tengo dos políticas, la política de salida a internet y la política de acceso al servidor
4.- A que te refieres con ruta?
5.-no hice ninguna virtual
con referente a los pasos realice todos (menos lo de la ruta )
lo que hice fue checar la configuración completa en consola y la puse "igual", al final si me logro conectar PERO me da direcciones de red de la primera VPN, la primera VPN tiene un bloque de direcciones 10.10.20.[100-200] y yo configure la 2da VPN con el bloque 10.10.30.[100-200], y como te comentaba al momento de conectarme me da ips de la 1ra VPN.
pregunta: en la 2 configuraciones estoy poniendo el mismo gateway remoto ¿Este tiene algo que ver?
o ¿como reconoce el forticlient a cual configuración se va a enrutar?
me dices:
¿como puedo ver la configuración de la virtual en consola de la VPN ya existente para ver los paramtros?
saludos
1.- si estoy 100% seguro
2.- si es modo interfaz( o subinterfaz ) por que en wan1 me aparecen junto con la otra vpn
3.- si tengo dos políticas, la política de salida a internet y la política de acceso al servidor
4.- A que te refieres con ruta?
5.-no hice ninguna virtual
con referente a los pasos realice todos (menos lo de la ruta )
lo que hice fue checar la configuración completa en consola y la puse "igual", al final si me logro conectar PERO me da direcciones de red de la primera VPN, la primera VPN tiene un bloque de direcciones 10.10.20.[100-200] y yo configure la 2da VPN con el bloque 10.10.30.[100-200], y como te comentaba al momento de conectarme me da ips de la 1ra VPN.
pregunta: en la 2 configuraciones estoy poniendo el mismo gateway remoto ¿Este tiene algo que ver?
o ¿como reconoce el forticlient a cual configuración se va a enrutar?
me dices:
5.- si el tunel es modo interfaz, se crea una virtual a la que se le puede poner una IP y se configura desde config system interface.
¿como puedo ver la configuración de la virtual en consola de la VPN ya existente para ver los paramtros?
saludos
Re: Crear Nueva Configuración VPN IPsec
Vamos por pasos
1) Creas Ike phase1
config vpn ipsec phase1-interface
edit "VPN_LAN_SITIO_B"
set interface "wan1" (Interfaz por donde se establece el tunel)
set keylife 86400
set proposal aes128-sha1
set remote-gw 8.8.8.1 (IP publica de Sitio B)
set psksecret ENC pruebaprueba
next
end
2) Creas IKE phase2
config vpn ipsec phase2-interface
edit "VPN_HACIA_LAN_SITIO_B_Ph2"
set keepalive enable
set keylife-type both
set phase1name "VPN_LAN_SITIO_B"
set proposal aes128-sha1
set keylifekbs 128000
set keylifeseconds 28800
next
end
3) Creas una politica para esta VPN
config firewall policy
edit 3112
set srcintf "LAN"
set dstintf "VPN_LAN_SITIO_B"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "any"
set comments "permite todo el trafico por la VPN"
next
end
4) por ultimo creas una ruta para que el trafico que vos queres vaya por esa VPN, por ejemplo si en el Fortigate A tenes una LAN 192.168.1.0/24 y en el Fortigate B tenes una LAN 10.255.255.0/24, entonces en el Fortigate A creas una ruta para llegar a la LAN de B por la VPN. En el fortigate B tenes que poner:
config router static
edit 1
set comment "hacia LAN de Fortigate B"
set device "VPN_LAN_SITIO_B"
set dst 10.255.255.0 255.255.255.0
next
end
En el Fortigate B haces lo mismo, pero introducis unos cambios, por ejemplo la ruta va a tener como destino la red 192.168.1.0/24. En IKE fase1 en remote-gw vas a tener que poner la Ip publica del sitio A.
Acordate que los parametros de encriptacion los elegis vos, pero tienen que ser iguales en los dos lados, al igual que la presharedkey.
Vos con la ruta le decis al Fortigate que es lo que queres que vaya por la VPN, porque al ser una interfaz mas del equipo se comporta de la misma forma que una fisica. Entonces, cuando le llega un paquete al Fortigate, este decide por cual interfaz enviar ese paquete en base a su tabla de rutas.
Tambien le podes agregar una IP a esa interfaz virtual:
config system interface
edit "VPN_LAN_SITIO_B"
set vdom "root"
set ip 172.16.1.1 255.255.255.255
set allowaccess ping https ssh
set type tunnel
set remote-ip 172.16.1.2
set interface "wan1"
next
end
Espero haber sido claro, contanos como fue
Saludos!
1) Creas Ike phase1
config vpn ipsec phase1-interface
edit "VPN_LAN_SITIO_B"
set interface "wan1" (Interfaz por donde se establece el tunel)
set keylife 86400
set proposal aes128-sha1
set remote-gw 8.8.8.1 (IP publica de Sitio B)
set psksecret ENC pruebaprueba
next
end
2) Creas IKE phase2
config vpn ipsec phase2-interface
edit "VPN_HACIA_LAN_SITIO_B_Ph2"
set keepalive enable
set keylife-type both
set phase1name "VPN_LAN_SITIO_B"
set proposal aes128-sha1
set keylifekbs 128000
set keylifeseconds 28800
next
end
3) Creas una politica para esta VPN
config firewall policy
edit 3112
set srcintf "LAN"
set dstintf "VPN_LAN_SITIO_B"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "any"
set comments "permite todo el trafico por la VPN"
next
end
4) por ultimo creas una ruta para que el trafico que vos queres vaya por esa VPN, por ejemplo si en el Fortigate A tenes una LAN 192.168.1.0/24 y en el Fortigate B tenes una LAN 10.255.255.0/24, entonces en el Fortigate A creas una ruta para llegar a la LAN de B por la VPN. En el fortigate B tenes que poner:
config router static
edit 1
set comment "hacia LAN de Fortigate B"
set device "VPN_LAN_SITIO_B"
set dst 10.255.255.0 255.255.255.0
next
end
En el Fortigate B haces lo mismo, pero introducis unos cambios, por ejemplo la ruta va a tener como destino la red 192.168.1.0/24. En IKE fase1 en remote-gw vas a tener que poner la Ip publica del sitio A.
Acordate que los parametros de encriptacion los elegis vos, pero tienen que ser iguales en los dos lados, al igual que la presharedkey.
Vos con la ruta le decis al Fortigate que es lo que queres que vaya por la VPN, porque al ser una interfaz mas del equipo se comporta de la misma forma que una fisica. Entonces, cuando le llega un paquete al Fortigate, este decide por cual interfaz enviar ese paquete en base a su tabla de rutas.
Tambien le podes agregar una IP a esa interfaz virtual:
config system interface
edit "VPN_LAN_SITIO_B"
set vdom "root"
set ip 172.16.1.1 255.255.255.255
set allowaccess ping https ssh
set type tunnel
set remote-ip 172.16.1.2
set interface "wan1"
next
end
Espero haber sido claro, contanos como fue
Saludos!
Re: Crear Nueva Configuración VPN IPsec
Releyendo tu respuesta, me olvide de preguntar, esto es una VPN gateway-Gateway no? o del tipo cliente servidor? Si esta ultima, hay que crear la VPN de otra forma, siendo Dial-UP y asignandole un pool de direcciones al cliente.