Conexion VPN a traves de Forticlient

[dan_beta]

Lo que queremos realizar esto

En una oficina remota quieremos que se conecte a la oficina principal a traves de fortiClient

La cuestion es que en la otra oficina contamos con otro fortigate de hecho del mismo modelo
la cuestion es en esa oficina no cuentan con IP Statica como en la oficina principal

entonces desde mi casa si me puedo conectar a la oficina con Forticlient pero de esa oficina remota no...

Me quede pensando si tiene algo que ver con las conexiones de P2P, ya que esas conexiones estan filtradas en ese fortinet REMOTO

Bueno Aqui esta el rollo

WAN2 201.171.244.123
WAN1 201.140.169.102
Interna: 172.16.48.254

Adreesss FCliente_Host

Se creo una VPN a traves del autokey de IPSEC llamada FClient_VPN

LocalInterface wan1

con ip de conexion
10.1.1.1
10.1.1.30
con el User_Group ->Forticlient

Politica

Firewall-> Device Identify
Incoming interface: FClient_VPN
Source FClient_Hosts
Outgoing Any

Destination All, Devices Windows PC


La cuestion es que de mi casa si se conecta pero de la otre oficina no, pero eso en teoria quiere decir que esta bien confgurado solo que el firewall esta bloqueando
aparentemente o no se si se tenga hacer mas pruebas

[gabyrossi]

hola, la pregunta es si tenes 2 fortigate, porque usar el forticlient y no hacer una vpn ipsec fortigate to fortigate ?

saludos.

[dan_beta]

la Respuesta es simple porque en la oficina principal tenemos IP statica
y en la otra oficina tenemos una IP Dinamica por dicha razon no hacemos esa conexion....

Aunque en Teoria deberia de poderce hacer con DynDNS, o mas bien si se puede me podrias explicar como seria la
conexion ya que ahi me patinando al hacer la conexion

[gabyrossi]

Hola, no importa que tengas ip dinamica.
la vpn lan to lan la configuras de la misma manera que si fuera un forticlient.
en el fortigate que tenes ip estatica la von el modo sera dialup, y del otro fortigate donde tenes ip dinamica, en el modo de vpn le apuntas a la ip estatica del otro.

saludos.

[dan_beta]

Lo que ya hice es esto que muestra el video de Configuracion de Site-to-Site

[Debes identificarte para poder ver enlaces.]

Solo que me tope con esto en la IP de la Planta esta con la misma ip del otro fortinet
entonces el puente que aparece abajo, otra cosa al ponerle el DDNS de fortidyndns.com,me marca un warning
de que es probable que no se publique, esto es en la sucursal.

A resumidas no se si tenga que cambiar la IP de la red internal del fortinet de la red de la sucursal que segun Yo si es necesario.

Ahora bien al conectarme con Forticlient desde mi casa excelente muy bien a pero si es de la sucursal hacia aca no se conecta aunque si autentifica, ese caso
creo que es directamente del fortigate ya que bloquea conexiones de P2P, aun asi ando medio perdido

La mejor opcion es la que me mencionas pero en realidad si ando medio perdido o bien ando haciendo algo mal, el Fortigate tiene la version v5.0,build0271 (GA Patch 6), en la sucursal
y en la Planta principal tiene v5.0,build0252 (GA Patch 5), aunque segun yo no debe de afectar de todas maneras le pondre la misma version de Patch para que esten en la misma version.. por seguridad he inconveniente.

[dan_beta]

Hola, no importa que tengas ip dinamica.
la vpn lan to lan la configuras de la misma manera que si fuera un forticlient.
en el fortigate que tenes ip estatica la von el modo sera dialup, y del otro fortigate donde tenes ip dinamica, en el modo de vpn le apuntas a la ip estatica del otro.

saludos.

Lo que ya hice es esto que muestra el video de Configuracion de Site-to-Site

[Debes identificarte para poder ver enlaces.]

Solo que me tope con esto en la IP de la Planta esta con la misma ip del otro fortinet
entonces el puente que aparece abajo, otra cosa al ponerle el DDNS de fortidyndns.com,me marca un warning
de que es probable que no se publique, esto es en la sucursal.

A resumidas no se si tenga que cambiar la IP de la red internal del fortinet de la red de la sucursal que segun Yo si es necesario.

Ahora bien al conectarme con Forticlient desde mi casa excelente muy bien a pero si es de la sucursal hacia aca no se conecta aunque si autentifica, ese caso
creo que es directamente del fortigate ya que bloquea conexiones de P2P, aun asi ando medio perdido

La mejor opcion es la que me mencionas pero en realidad si ando medio perdido o bien ando haciendo algo mal, el Fortigate tiene la version v5.0,build0271 (GA Patch 6), en la sucursal
y en la Planta principal tiene v5.0,build0252 (GA Patch 5), aunque segun yo no debe de afectar de todas maneras le pondre la misma version de Patch para que esten en la misma version.. por seguridad he inconveniente.
dan_beta

Mensajes: 19
Registrado: 06 Sep 2011, 17:25

[gabyrossi]

hola, las redes locales son iguales?
si es asi, lo mejor es que las cambies.

saludos

[dan_beta]

DynDNS.jpg

Phase_02.jpg

Phase_01.jpg

okey ya las cambie el dia de ayer
la de la oficina principal una es 172.16.48.254
la Remota es 172.16.49.254

Una Cosa mas en la Officina Remota tengo IP Dinamica y en la Officina principal tengo IP Statica
Las versiones del Fortinet las tengo el la misca version v5.0,build0271 (GA Patch 6)

pero me di cuenta que cuando habilito el FortiGuard DDNS solamente me aparecen solo estos servidores
Fortidyndns.com, Fortiddns.com y flote-zone.com anteriormente me daba la opcion de meter servidores de DYNDNS y ya no, no sabes si esta disponible o ya no,

bueno mi punto es que al habilitarlo el de la sucursal aparece un warning y dice que no es ip publica que probablemente no se publique eso afecta???
lo configure con fortidyndns.com porque son los que me dejo accesibles... Aunque estoy pagando los DYNDNS.

este es el video que estuve mirando, pero parece que no doy, [Debes identificarte para poder ver enlaces.]

No logro ponerlo en bridge up....

Te puse los datos de las phases ya que en el video mencionas que es la misma configuracion pero invertido, pero aparentemente es desde la configuracion del DDNS que trae el warning en la Matriz si aparece correctamente aunque esa es IP estatica...

Espero que me puedas ayudar con eso porque no doy...

[gabyrossi]

hola, lo de dyndns revisa por cli...

y lo mejor es que el fortigate en la wan1 tenga ip publica, no ip privada.

saludos

[dan_beta]

Lo revise con uno de los Tecnicos de Fortinet, me comenta que no se puede hacer de esa manera
entonces que lo que hay que hacer es hacer la confituracion de VPN a traves de Dialup User para que se conecte a la Matriz
y configurar la Sucursal para que haga la marcacion hacia la matriz porque esa tiene IP estatica... sinceramente ya medio me perdi...

pero eso me comenta... si no tiene IP publica que no se puede configurar el DDNS

[gabyrossi]

Claro, el dydns servira si tenes ip publica.
sino tendras que usar algun otro software instalado en un server y que muestre kla ip publica de donde sale.

dialup, es la misma manera que se arma una vpn contrs un forticlient, solo qwue es contra un fortigate
la central que tiene ip fija, el modo sera dialup, y en donde tenes ip dinamica, el peer de la vpn sera la ip fija del fortigate central.

revisa la doc. de vpn

[dan_beta]

Por ahi me encotre mas o menos que es lo que quiero hacer con lo de la conexion a VPN

[Debes identificarte para poder ver enlaces.]

Solo que ya lo hice pero como las configuraciones cambiaron bastante de 5.0 no estoy deefinindo bien eso y no logro levantarlo

[gabyrossi]

la parte de vpn no cambio casi nada...