Hola,
Estoy queriendo crear una VPN PPLP pero no logro que funcione, cuando desde el otro lado le doy conectar dice " comprobando usuario y pass" y se queda ahi.
Por favor necesito ayuda de como crear PPLP y la Policy en Firewall para que funcione la conexion.
Instale un soft de Forti para que tomara los usuarios del Active Directory.
Bueno, si alguien me puede ayudar se lo agradeceria.
Saludos Ramiro
VPN PPLP ayuda!
Re: VPN PPLP ayuda!
hola, como estas? cual es la vpn pplp??? sera pptp¿?
No podras usar el ad para autenticar los pptp. si podras contra un ldap,radius o usuarios locales.
saludos
Gabriel
No podras usar el ad para autenticar los pptp. si podras contra un ldap,radius o usuarios locales.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN PPLP ayuda!
Gaby,
tienes razon es PPTP, perdon.
Ahora estoy intentando con IPSEC, ya actualice mi FGT 60 a la version 3.00-b0737(MR7 Patch 3). Cuando debo crear una Phase1, en Remote Gateway que debo seleccionar para que accedan usuarios desde fuera de la red.?
tienes razon es PPTP, perdon.
Ahora estoy intentando con IPSEC, ya actualice mi FGT 60 a la version 3.00-b0737(MR7 Patch 3). Cuando debo crear una Phase1, en Remote Gateway que debo seleccionar para que accedan usuarios desde fuera de la red.?
Re: VPN PPLP ayuda!
Hola, como estas? Con ipsec cuando utilizas forticlient deberas crear una vpn de modo dialup.
te dejo unos links con mucha info. que te van a ayudar:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
te dejo unos links con mucha info. que te van a ayudar:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN PPLP ayuda!
Gaby,
siguiento un poco todos los tutoriales que me pasaste llegue a esto, podrias indicarme si esta bien, lo he probado y nada.
puedes indicarme si voy bien.
En User – Directory Service
Name: Dominio
FSAE Collector IP/Name: 192.168.1.154 Port: 8000 Password: 123456
FSAE Collector IP/Name: 192.168.1.153 Port: 8000 Password: 123456
En User – User Group
Name: GrupoAD
Type: Directory Service
Protecction Profile: Unfiltered
Available Memebers: Selecciono todos los usuarios
System – DHCP – WAN1 – SERVERS
Name: VPN
Enable: ok
Type: IPsec
IP range: 192.168.1.190 – 192.168.1.200
Network Mask: 255.255.255.0
Default Gateway: 192.168.1.1 (ip del fortigate)
Domain: NombredelDominio.com
Advanced
DNS Server1: 192.168.1.153
DNS Server2: 192.168.1.154
En VPN – IPSEC – Phase1:
Name: VPN1
Remote Gateway: Dialup User
Local Interface: Wan1
Mode: main
Authentication: Preshared Key
Pre-Shared: xxxxxxxx
Accept any peer ID
Advanced – Enable IPSec Int Mod
Local Gateway IP : Main Interface IP
XAUTH: disable
Nat Traversal: Enable
Dead peer detection: Enable
En VPN – IPSEC – Phase 2
Name: VPN2
Phase1: VPN1
Autokey Keep Alive: Enable
DHCP – IPsec: Enable
Firewall – Policy
Source Interface: VPN1
Source Address: all
Destination Interface: Internal
Destination Address: All
Schedule: always
Service: any
Action: Accept
Authentication: Directory Service(FSAE) Selecciono el grupo del Directorio Activo
En Forticlient - VPN
Conexion Name: VPN
Configuration: Manual
Remote Gateway: 200.40.---.--- (IP fija)
Remote Network: 192.168.1.153/255.255.255.0
Autentication Method: Preshared Key
Preshared Key: xxxxxxxx
Advanced settings
Acquire virtual IP address: OK
Config: manual set
IP: 192.168.1.153
Sub: 255.255.255.0
DNS: 192.168.1.153
Bien, teniendo todo esto, no me funciona. Quisa tu puedas saber donde tengo el error y ayudarme a resolverlo.
muchas gracias.
Ramiro
siguiento un poco todos los tutoriales que me pasaste llegue a esto, podrias indicarme si esta bien, lo he probado y nada.
puedes indicarme si voy bien.
En User – Directory Service
Name: Dominio
FSAE Collector IP/Name: 192.168.1.154 Port: 8000 Password: 123456
FSAE Collector IP/Name: 192.168.1.153 Port: 8000 Password: 123456
En User – User Group
Name: GrupoAD
Type: Directory Service
Protecction Profile: Unfiltered
Available Memebers: Selecciono todos los usuarios
System – DHCP – WAN1 – SERVERS
Name: VPN
Enable: ok
Type: IPsec
IP range: 192.168.1.190 – 192.168.1.200
Network Mask: 255.255.255.0
Default Gateway: 192.168.1.1 (ip del fortigate)
Domain: NombredelDominio.com
Advanced
DNS Server1: 192.168.1.153
DNS Server2: 192.168.1.154
En VPN – IPSEC – Phase1:
Name: VPN1
Remote Gateway: Dialup User
Local Interface: Wan1
Mode: main
Authentication: Preshared Key
Pre-Shared: xxxxxxxx
Accept any peer ID
Advanced – Enable IPSec Int Mod
Local Gateway IP : Main Interface IP
XAUTH: disable
Nat Traversal: Enable
Dead peer detection: Enable
En VPN – IPSEC – Phase 2
Name: VPN2
Phase1: VPN1
Autokey Keep Alive: Enable
DHCP – IPsec: Enable
Firewall – Policy
Source Interface: VPN1
Source Address: all
Destination Interface: Internal
Destination Address: All
Schedule: always
Service: any
Action: Accept
Authentication: Directory Service(FSAE) Selecciono el grupo del Directorio Activo
En Forticlient - VPN
Conexion Name: VPN
Configuration: Manual
Remote Gateway: 200.40.---.--- (IP fija)
Remote Network: 192.168.1.153/255.255.255.0
Autentication Method: Preshared Key
Preshared Key: xxxxxxxx
Advanced settings
Acquire virtual IP address: OK
Config: manual set
IP: 192.168.1.153
Sub: 255.255.255.0
DNS: 192.168.1.153
Bien, teniendo todo esto, no me funciona. Quisa tu puedas saber donde tengo el error y ayudarme a resolverlo.
muchas gracias.
Ramiro
Re: VPN PPLP ayuda!
Hola, no estas mezclando algunas cosas.
la von no podras autenticarla contra el ad, usando el fsae.
si pdoras usar la autenticacion como ldap, radius o usuarios locales.
el dhcp siempre es mejor no poner la misma red que la lan.
la vpn la haces en modo ruta? o modo policy?
la politica de vpn cambia segun el modo de vpon que hagas.
te paso otro link en español, donde podes ver algo de esto. OJO ALGUNAS COSAS NO SON ACTUALES Y PODRIAN ESTAR MAL.Pero para sacar la idea funciona.
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
la von no podras autenticarla contra el ad, usando el fsae.
si pdoras usar la autenticacion como ldap, radius o usuarios locales.
el dhcp siempre es mejor no poner la misma red que la lan.
la vpn la haces en modo ruta? o modo policy?
la politica de vpn cambia segun el modo de vpon que hagas.
te paso otro link en español, donde podes ver algo de esto. OJO ALGUNAS COSAS NO SON ACTUALES Y PODRIAN ESTAR MAL.Pero para sacar la idea funciona.
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN PPLP ayuda!
Gaby,
No me permite seleccionar en
“XAuth”: La habilitaremos pero como servidor, “Enable as server”.
“Server type”: PAP.
a que se puede deber?
No me permite seleccionar en
“XAuth”: La habilitaremos pero como servidor, “Enable as server”.
“Server type”: PAP.
a que se puede deber?
Re: VPN PPLP ayuda!
Hola, como va? No te deja, porque no tenes creado ningun grupo de ldap o radius o con usuarios locales.
saludos
Gabriel
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN PPLP ayuda!
Gaby,
la verdad que me estoy complicando bastante, crei haberlo entendido pero ahora esto de LDAP me supero. Que me recomiendas de hacer que sea facil para comenzar a trabajar y luego de ir ganando experiencia poder cambiar el tipo de conexion. Usuarios locales, ya lo cree pero sigue sin habilitarme dentro de xauth. la opcion "enable as server".
Hay algun tutorial por ahi con la version actualizada 3.0 MR7 de como crear una vpn?
Ya me esta desquisiando esto!!!
la verdad que me estoy complicando bastante, crei haberlo entendido pero ahora esto de LDAP me supero. Que me recomiendas de hacer que sea facil para comenzar a trabajar y luego de ir ganando experiencia poder cambiar el tipo de conexion. Usuarios locales, ya lo cree pero sigue sin habilitarme dentro de xauth. la opcion "enable as server".
Hay algun tutorial por ahi con la version actualizada 3.0 MR7 de como crear una vpn?
Ya me esta desquisiando esto!!!
Re: VPN PPLP ayuda!
hola, como estas?
Siempre que crear usuarios, tenes que agregarlos a un grupo.
en este caso, con usuarios locales cre un grupo de firewall y agrega los user ahi. luego se te habilitara el xauth.
la info esta en todas las urls que te pase anteriormente.
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
Siempre que crear usuarios, tenes que agregarlos a un grupo.
en este caso, con usuarios locales cre un grupo de firewall y agrega los user ahi. luego se te habilitara el xauth.
la info esta en todas las urls que te pase anteriormente.
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN PPLP ayuda!
Gaby, hola como estas, antes que nada te quiero agradecer la ayuda que me estas dando y por el tiempo que te estoy robando.
Te comento que eh intentado alguna que otra cosa y nada, tengo esta configuracion, tal como sigo de las guias que tu me pasaste y quisiera saber si estan correctas, ademas necesito que me indiques si me esta faltando algo en la configuracion del forticlient.
Muchas gracias
User
Local
User Name: Ramiro
Password: xxxxxx
User Group
Name: UsuariosVPN
Type: Firewall
Protection Profile: unfiltered
Selecciono Ramiro y lo paso para Members
VPN
IPSE – AUTO KEY (IKE)
PHASE 1
Name: VPN1
Remote Gateway: Dialup User
Locate interface: wan1
Mode: Main
Authentication Method: Preshare Key
Pre-shared key: xxxxxx
Peer options: Accept any peer ID
Advanced…
Enable IPSec Interf Mode: OK
XAuth: Enable as Server
Server Type: PAP
User Group: UsuariosVPN
Nat Traversal: Enable
Dead Peer Detection: Enable
Phase2
Name: VPN2
Phase1: VPN1
Autokey Keep Alive: Enable
Firewall
Policy
Source Intef: VPN1
Source Address: all
Desination Interf: internal
Destination Address: all
Schedule: always
Service: any
Action: accept
Nat: OK
Authentication: ok
Directory service (FSAE): OK
Allow: UsuariosVPN
En Forticlient - VPN
Conexion Name: VPN
Configuration: Manual
Remote Gateway: 200.40.---.--- (IP fija)
Remote Network: 192.168.1.153/255.255.255.0
Autentication Method: Preshared Key
Preshared Key: xxxxxxxx
Advanced settings
Acquire virtual IP address: OK
Config: manual set
IP: 192.168.1.153
Sub: 255.255.255.0
DNS: 192.168.1.153
Te comento que eh intentado alguna que otra cosa y nada, tengo esta configuracion, tal como sigo de las guias que tu me pasaste y quisiera saber si estan correctas, ademas necesito que me indiques si me esta faltando algo en la configuracion del forticlient.
Muchas gracias
User
Local
User Name: Ramiro
Password: xxxxxx
User Group
Name: UsuariosVPN
Type: Firewall
Protection Profile: unfiltered
Selecciono Ramiro y lo paso para Members
VPN
IPSE – AUTO KEY (IKE)
PHASE 1
Name: VPN1
Remote Gateway: Dialup User
Locate interface: wan1
Mode: Main
Authentication Method: Preshare Key
Pre-shared key: xxxxxx
Peer options: Accept any peer ID
Advanced…
Enable IPSec Interf Mode: OK
XAuth: Enable as Server
Server Type: PAP
User Group: UsuariosVPN
Nat Traversal: Enable
Dead Peer Detection: Enable
Phase2
Name: VPN2
Phase1: VPN1
Autokey Keep Alive: Enable
Firewall
Policy
Source Intef: VPN1
Source Address: all
Desination Interf: internal
Destination Address: all
Schedule: always
Service: any
Action: accept
Nat: OK
Authentication: ok
Directory service (FSAE): OK
Allow: UsuariosVPN
En Forticlient - VPN
Conexion Name: VPN
Configuration: Manual
Remote Gateway: 200.40.---.--- (IP fija)
Remote Network: 192.168.1.153/255.255.255.0
Autentication Method: Preshared Key
Preshared Key: xxxxxxxx
Advanced settings
Acquire virtual IP address: OK
Config: manual set
IP: 192.168.1.153
Sub: 255.255.255.0
DNS: 192.168.1.153
Re: VPN PPLP ayuda!
hola, como estas? en la politica no autentiques. es la politica de vpn
no sale ahi como hiciste la vpon? modo policy o route?
creo que en modo policy entonces la politica es incorrecta.
lee bien la politica de vpn en modo policy
en la vpn en pla phase1 no deberas tildar Enable IPSec Interface Mode
en e forticlient no pongas red remota y si queres que adquiera ip dinamicamente tendras que tildar ahi y hacer el dhcp en la wan donde sale la vpn.
creo que tenes que leer el manual de vpn dialup, sino no vas a avanzar mas.
saludos
Gabriel
no sale ahi como hiciste la vpon? modo policy o route?
creo que en modo policy entonces la politica es incorrecta.
lee bien la politica de vpn en modo policy
en la vpn en pla phase1 no deberas tildar Enable IPSec Interface Mode
en e forticlient no pongas red remota y si queres que adquiera ip dinamicamente tendras que tildar ahi y hacer el dhcp en la wan donde sale la vpn.
creo que tenes que leer el manual de vpn dialup, sino no vas a avanzar mas.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN PPLP ayuda!
Gaby,
Lo logre!!! muchas gracias por tu ayuda.
Una consulta mas, es posible que el largo de la pre-shared key influya en el rendimiento del la conexión. O sea cuanto mas larga es mas pesada se vuelve la conexión.
Saludos y nuevamente gracias por todo.
Lo logre!!! muchas gracias por tu ayuda.
Una consulta mas, es posible que el largo de la pre-shared key influya en el rendimiento del la conexión. O sea cuanto mas larga es mas pesada se vuelve la conexión.
Saludos y nuevamente gracias por todo.
Re: VPN PPLP ayuda!
Hola, como estas? no, la conexion va a depender de los dos extremos.
saludos
Gabriel
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN PPLP ayuda!
Gaby,
me esta dando este mensaje el forticlient "FortiShield blocked application: C:\WINDOWS\system32\SearchIndexer.exe modify: c:\archivos de programa\fortinet\forticlient\logs"
y no me permite conectarme.
que puede ser?
me esta dando este mensaje el forticlient "FortiShield blocked application: C:\WINDOWS\system32\SearchIndexer.exe modify: c:\archivos de programa\fortinet\forticlient\logs"
y no me permite conectarme.
que puede ser?