VPN IPSec Fortigate 200A y Cisco
Publicado: 04 Feb 2009, 09:46
Buenas a todos
En primer lugar agradecer la ayuda que me han prestado todos ustedes de forma indirecta a través de este foro resolviendo las dudas de otros usuarios, la verdad es que me ha ayudado mucho con cuestiones puntuales. Pero ahora necesito una ayuda un poco mas directa. Comento la situación:
- Tenemos un Fortigate-200A 3.00-b0733(MR7 Patch 2) , la if wan1 dedicada para VPNs y la if wan2 dedicada para la salida a Internet de los usuarios, el problema viene al configurar una VPN IPSec contra un dispositivo CISCO, la VPN la levanta (en ocasiones se cae) pero haciendo ping a los equipos de la otra red no contestan y lo mismo sucede haciendo ping red remota a la nuestra, creo que las políticas están bien creadas, he añadido una ruta en Policy Route para la red remota,...
- Tenemos otras VPN IPSec Lan2Lan y dialup montadas y estas funcionan sin problemas
¿Podrían echarme una mano?
Adjunto información relativa a la configuración, si necesitan algún dato más dígamelo
config firewall address
edit "all"
next
edit "CPC"
set subnet 192.168.1.0 255.255.255.0
next
edit "GE"
set subnet 150.2.0.0 255.255.0.0
next
end
config firewall policy
edit 22
set srcintf "internal"
set dstintf "wan1"
set srcaddr "CPC"
set dstaddr "GE"
set action ipsec
set schedule "always"
set service "ANY"
set inbound enable
set outbound enable
set vpntunnel "GE_fase1"
next
end
config vpn ipsec phase1
edit "GE_fase1"
set interface "wan1"
set dpd disable
set dhgrp 2
set proposal 3des-md5
set keylife 86400
set remote-gw ---.---.---.---
set psksecret ENC bHq3berX8xFaxnv2YoKdDF7vielpQTBok8RGbkJEvl3Ebc7wD2IYnnPYx/N4I+4vOhB23UhyfJ1jucMZT+vQAmaT25pIuVtBuGFGgrzaUFvqu0kS
next
end
config vpn ipsec phase2
edit "GE_fase2"
set phase1name "GE_fase1"
set proposal 3des-md5
set dst-subnet 150.2.0.0 255.255.0.0
set keylifeseconds 3600
set src-subnet 192.168.1.0 255.255.255.0
next
end
config router policy
edit 10
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set dst 150.2.0.0 255.255.0.0
set output-device "wan1"
next
edit 9
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set dst 192.168.20.0 255.255.255.0
set output-device "wan2"
next
edit 8
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set dst 192.168.10.0 255.255.255.0
set output-device "wan1"
next
edit 5
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set dst 192.168.100.0 255.255.255.0
set output-device "dmz2"
next
edit 6
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set output-device "wan2"
next
edit 7
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set output-device "wan1"
next
edit 4
set input-device "dmz2"
set src 192.168.100.0 255.255.255.0
set output-device "wan2"
next
edit 3
set input-device "dmz2"
set src 192.168.100.0 255.255.255.0
set output-device "wan1"
next
end
En primer lugar agradecer la ayuda que me han prestado todos ustedes de forma indirecta a través de este foro resolviendo las dudas de otros usuarios, la verdad es que me ha ayudado mucho con cuestiones puntuales. Pero ahora necesito una ayuda un poco mas directa. Comento la situación:
- Tenemos un Fortigate-200A 3.00-b0733(MR7 Patch 2) , la if wan1 dedicada para VPNs y la if wan2 dedicada para la salida a Internet de los usuarios, el problema viene al configurar una VPN IPSec contra un dispositivo CISCO, la VPN la levanta (en ocasiones se cae) pero haciendo ping a los equipos de la otra red no contestan y lo mismo sucede haciendo ping red remota a la nuestra, creo que las políticas están bien creadas, he añadido una ruta en Policy Route para la red remota,...
- Tenemos otras VPN IPSec Lan2Lan y dialup montadas y estas funcionan sin problemas
¿Podrían echarme una mano?
Adjunto información relativa a la configuración, si necesitan algún dato más dígamelo
config firewall address
edit "all"
next
edit "CPC"
set subnet 192.168.1.0 255.255.255.0
next
edit "GE"
set subnet 150.2.0.0 255.255.0.0
next
end
config firewall policy
edit 22
set srcintf "internal"
set dstintf "wan1"
set srcaddr "CPC"
set dstaddr "GE"
set action ipsec
set schedule "always"
set service "ANY"
set inbound enable
set outbound enable
set vpntunnel "GE_fase1"
next
end
config vpn ipsec phase1
edit "GE_fase1"
set interface "wan1"
set dpd disable
set dhgrp 2
set proposal 3des-md5
set keylife 86400
set remote-gw ---.---.---.---
set psksecret ENC bHq3berX8xFaxnv2YoKdDF7vielpQTBok8RGbkJEvl3Ebc7wD2IYnnPYx/N4I+4vOhB23UhyfJ1jucMZT+vQAmaT25pIuVtBuGFGgrzaUFvqu0kS
next
end
config vpn ipsec phase2
edit "GE_fase2"
set phase1name "GE_fase1"
set proposal 3des-md5
set dst-subnet 150.2.0.0 255.255.0.0
set keylifeseconds 3600
set src-subnet 192.168.1.0 255.255.255.0
next
end
config router policy
edit 10
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set dst 150.2.0.0 255.255.0.0
set output-device "wan1"
next
edit 9
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set dst 192.168.20.0 255.255.255.0
set output-device "wan2"
next
edit 8
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set dst 192.168.10.0 255.255.255.0
set output-device "wan1"
next
edit 5
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set dst 192.168.100.0 255.255.255.0
set output-device "dmz2"
next
edit 6
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set output-device "wan2"
next
edit 7
set input-device "internal"
set src 192.168.1.0 255.255.255.0
set output-device "wan1"
next
edit 4
set input-device "dmz2"
set src 192.168.100.0 255.255.255.0
set output-device "wan2"
next
edit 3
set input-device "dmz2"
set src 192.168.100.0 255.255.255.0
set output-device "wan1"
next
end