VPN IPSEC Fortigate - Junniper

[ahualde]

Hola,
Tengo un probelma con un site-to-site vpn ipsec entre mi Fortigate 60B (3.00 MR7 patch 2) y un Junniper de otra empresa.
He configurado el Auto key (IKE) de la siguiente forma:
FASE 1

Fase1.JPG

FASE 2

Fase2.JPG

Por el otro extremo, han sido tan amables de pasarme los pantallazos de configuración:

Junniper.jpg

La cuestión es que en el log del fortigate, veo constantemente:
dir=outbound status=success msg="Responder: sent ---.xx.---.83 main mode message #1 (OK)"
dir=outbound status=success msg="Responder: sent ---.xx.---.83 main mode message #2 (OK)"
dir=inbound status=success msg="Responder: parsed ---.xx.---.83 main mode message #3 (DONE)"
dir=outbound status=success msg="Responder: sent ---.xx.---.83 main mode message #3 (DONE)"
dir=inbound status=failure msg="Responder: parsed ---.xx.---.83 quick mode message #1 (ERROR)"
dir=inbound status=failure msg="Responder: parsed ---.xx.---.83 quick mode message #1 (ERROR)"
(unas cuantas veces más..)
msg="Deleted an Isakmp SA on the tunnel to ---.xx.---.83:500"

La dirección ---.xx.---.83 es la del remote gateway (junniper).
La dirección ---.---.---.94 es la de mi WAN2 del Fortigate, una SDSL.

¿Me podéis orientar un poco en qué puede estar fallando????

[gabyrossi]

Hola, como estas? Seguramente esta fallando los modos de encriptacion y el autenticacion (hash) de las phase 1 y la phase 2. Eso tiene que ser igual en los 2 extremos.
Tambien tiene que ser igual el tiempo de vida (Keylife) en phase 1 y phase 2 con respecto al juniper.Lo mismo que lo selectores de la phase2 (Quick Mode Selector) !

Re dejo este link del articulo de un ejemplo de armado de vpn entre un fortigate y un juniper, que seguro te va a servir:

[Debes identificarte para poder ver enlaces.]

saludos
Gabriel

[ahualde]

Hola Gaby! esperaba tu respuesta!!
El link del docu de fortigate me lo he mirado 100000 veces... pero sigo igual..
Me comentas que el problema pueden ser los modos de encriptacion y autenticacion hash. Creo que está bien.. no sé.. en la fase 1 está en el forti 3DES - SHA1 DH group 2 y en el pantallazo del junniper que os he puesto, el security level (que está en user defined custom y eso es lo que no me mola) pone pre-g2-3des-sha que yo creo que es PREshared key, DH group 2 - 3DES - SHA (más o menos que lo que he puesto en el Forti!)

Tambien el keylife que me comentas, que en el Juniper sale perfectamente: heartbeat, hello=20, reconnect=60, thresold=5, estas opciones de tiempo donde se pueden poner el el Forti?? En los pantallazos del forti no hay muchas opciones de tiempo (similares) key life de la phase 1? rango entre 120-172800.. y el keylife de la phase 2 tampoco veo donde lo marca el juniper..

Otra duda es en la fase 1 del juniper en security level lo han puesto a user defined pre-g2-3des-sha y tal vez poniendo un predefined (standard,compatible o basic) sea una de las claves...

[gabyrossi]

hola, como estas? En juniper la parte de autentiucacion y encript esta, no se ve en la imagen pero creo que esta en avanzadas.

tiene quew ser algo de eso.
En el link que te pase, es un ejemplo de como armarlo, si chequeas todo y trata de hacerlo igual te va a andar.

saludos
Gabriel

[ahualde]

Hola!
Bueno, me he puesto a hacer debug desde el CLI (serial) del Fortigate. Mucha mas informacion!
Al parecer el problema es en la fase 2. Ahora no puedo copiar exactamente el error, pero todo creo que se basa en que Juniper tiene activado el tema del proxy-id, con las direcciones locales / destino.
El problema es que por política, esa configuración ha de ser así, ellos han de tener activado el proxy-id.

En el fortigate he intentado configurar el tema del Quick Mode Selector, incluso mediante SSH para forzar a no escribir una red a mano, sino seleccionarlas del listado de adresses que tengo en el apartado Firewall, pero nada, sigue sin funcionar la fase 2....

mañana os posteo el debug del Forti, que por cierto, el activar el debug solo se puede recibir mediante CLI ? (serial) o puedo recibir el volcado por ssh o telnet.. y también se ve afectado el tráfico de red no? ya que cuando he estado haciendo debug del ike (siguiendo la troubleshooting guide de Fortinet), los usuarios me comentaban que perdían la conexión a internet..

[gabyrossi]

hola, como estas?
Podes escribir la red en directamente en la webgui de los selectores en la phase2 o editar como vos decis por consola la phase 2 y agregar redes.
Para hacer eso deberas hacer un grupo y dentro la redes que necesites. OBVIAMENTE ESTAS REDES TIENEN QUE SER IGUAL QUE EN JUNIPER.

Los comandos para agregar al grupò a los seltores en phase 2 serian:

fortigate1 # config vpn ipsec phase2 o phase2-interface (segun como la hiciste)
fortigate1 (phase2) # edit INIPSEC
fortigate1 (INIPSEC) # set src-addr-type name
fortigate1 (INIPSEC) # set src-name "nombre_del_grupo_red_local"
fortigate1 (INIPSEC) # set dst-addr-type name
fortigate1 (INIPSEC) # set dst-name "nomdre_del_grupo_red_destino"
fortigate1 (INIPSEC) # end


y listo

saludos
Gabriel

[ahualde]

Hola!
Bueno, finalmente ha funcioando!! Realmente después de tantas pruebas no te puedo asegurar que es lo que era. El único cambio ha sido que en el Quick Mode Selector, a través del CLI he asignado las Local / Remote Networks con el nombre de un GRUPO de direcciones, no un Address. Tenia configuradas las LAN locales y destino dentro de Firewall / Address, he creado 2 grupos en el que cada uno tiene simplemente cada grupo de LAN:
Firewall Address
-------------------
LAN_Local: 192.168.226.64/26
LAN_Remota: 192.168.1.0/26

Firewall Address - Groups
------------------------------
LAN_Local_VPN: unico miembro LAN_Local
LAN_Remota_VPN: unico miembro LAN_Remota


En el quick mode están asignados los grupos, no las firewall address.. y creo que poco más! se ha conectado y ya la tengo activa (ha costado!!)

Saludos y gracias!

[gabyrossi]

Hola, es lo que te habia dicho que armes, direcciones o redes dentro de un grupo iguales al del otro equipo.

saludos
Gabriel