Comunidad FORTIGATE.es

Hola,

Estoy queriendo crear una VPN PPLP pero no logro que funcione, cuando desde el otro lado le doy conectar dice " comprobando usuario y pass" y se queda ahi.

Por favor necesito ayuda de como crear PPLP y la Policy en Firewall para que funcione la conexion.

Instale un soft de Forti para que tomara los usuarios del Active Directory.

Bueno, si alguien me puede ayudar se lo agradeceria.

Saludos Ramiro

hola, como estas? cual es la vpn pplp??? sera pptp¿?

No podras usar el ad para autenticar los pptp. si podras contra un ldap,radius o usuarios locales.

saludos
Gabriel

Gaby,

tienes razon es PPTP, perdon.

Ahora estoy intentando con IPSEC, ya actualice mi FGT 60 a la version 3.00-b0737(MR7 Patch 3). Cuando debo crear una Phase1, en Remote Gateway que debo seleccionar para que accedan usuarios desde fuera de la red.?

Hola, como estas? Con ipsec cuando utilizas forticlient deberas crear una vpn de modo dialup.

te dejo unos links con mucha info. que te van a ayudar:

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

saludos
Gabriel

Gaby,

siguiento un poco todos los tutoriales que me pasaste llegue a esto, podrias indicarme si esta bien, lo he probado y nada.

puedes indicarme si voy bien.


En User – Directory Service

Name: Dominio
FSAE Collector IP/Name: 192.168.1.154 Port: 8000 Password: 123456
FSAE Collector IP/Name: 192.168.1.153 Port: 8000 Password: 123456

En User – User Group

Name: GrupoAD
Type: Directory Service
Protecction Profile: Unfiltered
Available Memebers: Selecciono todos los usuarios

System – DHCP – WAN1 – SERVERS

Name: VPN
Enable: ok
Type: IPsec
IP range: 192.168.1.190 – 192.168.1.200
Network Mask: 255.255.255.0
Default Gateway: 192.168.1.1 (ip del fortigate)
Domain: NombredelDominio.com

Advanced

DNS Server1: 192.168.1.153
DNS Server2: 192.168.1.154



En VPN – IPSEC – Phase1:

Name: VPN1
Remote Gateway: Dialup User
Local Interface: Wan1
Mode: main
Authentication: Preshared Key
Pre-Shared: xxxxxxxx
Accept any peer ID
Advanced – Enable IPSec Int Mod
Local Gateway IP : Main Interface IP
XAUTH: disable
Nat Traversal: Enable
Dead peer detection: Enable

En VPN – IPSEC – Phase 2

Name: VPN2
Phase1: VPN1
Autokey Keep Alive: Enable
DHCP – IPsec: Enable


Firewall – Policy

Source Interface: VPN1
Source Address: all
Destination Interface: Internal
Destination Address: All
Schedule: always
Service: any
Action: Accept
Authentication: Directory Service(FSAE) Selecciono el grupo del Directorio Activo

En Forticlient - VPN

Conexion Name: VPN
Configuration: Manual
Remote Gateway: 200.40.---.--- (IP fija)
Remote Network: 192.168.1.153/255.255.255.0
Autentication Method: Preshared Key
Preshared Key: xxxxxxxx

Advanced settings
Acquire virtual IP address: OK
Config: manual set
IP: 192.168.1.153
Sub: 255.255.255.0
DNS: 192.168.1.153



Bien, teniendo todo esto, no me funciona. Quisa tu puedas saber donde tengo el error y ayudarme a resolverlo.

muchas gracias.

Ramiro

Hola, no estas mezclando algunas cosas.

la von no podras autenticarla contra el ad, usando el fsae.
si pdoras usar la autenticacion como ldap, radius o usuarios locales.

el dhcp siempre es mejor no poner la misma red que la lan.

la vpn la haces en modo ruta? o modo policy?

la politica de vpn cambia segun el modo de vpon que hagas.

te paso otro link en español, donde podes ver algo de esto. OJO ALGUNAS COSAS NO SON ACTUALES Y PODRIAN ESTAR MAL.Pero para sacar la idea funciona.

[Debes identificarte para poder ver enlaces.]

saludos
Gabriel

Gaby,


No me permite seleccionar en

“XAuth”: La habilitaremos pero como servidor, “Enable as server”.
“Server type”: PAP.

a que se puede deber?

Hola, como va? No te deja, porque no tenes creado ningun grupo de ldap o radius o con usuarios locales.

saludos
Gabriel

Gaby,

la verdad que me estoy complicando bastante, crei haberlo entendido pero ahora esto de LDAP me supero. Que me recomiendas de hacer que sea facil para comenzar a trabajar y luego de ir ganando experiencia poder cambiar el tipo de conexion. Usuarios locales, ya lo cree pero sigue sin habilitarme dentro de xauth. la opcion "enable as server".

Hay algun tutorial por ahi con la version actualizada 3.0 MR7 de como crear una vpn?
Ya me esta desquisiando esto!!!

hola, como estas?
Siempre que crear usuarios, tenes que agregarlos a un grupo.
en este caso, con usuarios locales cre un grupo de firewall y agrega los user ahi. luego se te habilitara el xauth.

la info esta en todas las urls que te pase anteriormente.

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

saludos
Gabriel

Gaby, hola como estas, antes que nada te quiero agradecer la ayuda que me estas dando y por el tiempo que te estoy robando.
Te comento que eh intentado alguna que otra cosa y nada, tengo esta configuracion, tal como sigo de las guias que tu me pasaste y quisiera saber si estan correctas, ademas necesito que me indiques si me esta faltando algo en la configuracion del forticlient.

Muchas gracias

User
Local
User Name: Ramiro
Password: xxxxxx

User Group
Name: UsuariosVPN
Type: Firewall
Protection Profile: unfiltered
Selecciono Ramiro y lo paso para Members

VPN

IPSE – AUTO KEY (IKE)
PHASE 1
Name: VPN1
Remote Gateway: Dialup User
Locate interface: wan1
Mode: Main
Authentication Method: Preshare Key
Pre-shared key: xxxxxx
Peer options: Accept any peer ID
Advanced…
Enable IPSec Interf Mode: OK
XAuth: Enable as Server
Server Type: PAP
User Group: UsuariosVPN
Nat Traversal: Enable
Dead Peer Detection: Enable

Phase2
Name: VPN2
Phase1: VPN1
Autokey Keep Alive: Enable


Firewall

Policy

Source Intef: VPN1
Source Address: all
Desination Interf: internal
Destination Address: all
Schedule: always
Service: any
Action: accept
Nat: OK
Authentication: ok
Directory service (FSAE): OK
Allow: UsuariosVPN


En Forticlient - VPN

Conexion Name: VPN
Configuration: Manual
Remote Gateway: 200.40.---.--- (IP fija)
Remote Network: 192.168.1.153/255.255.255.0
Autentication Method: Preshared Key
Preshared Key: xxxxxxxx

Advanced settings
Acquire virtual IP address: OK
Config: manual set
IP: 192.168.1.153
Sub: 255.255.255.0
DNS: 192.168.1.153

hola, como estas? en la politica no autentiques. es la politica de vpn
no sale ahi como hiciste la vpon? modo policy o route?
creo que en modo policy entonces la politica es incorrecta.
lee bien la politica de vpn en modo policy

en la vpn en pla phase1 no deberas tildar Enable IPSec Interface Mode


en e forticlient no pongas red remota y si queres que adquiera ip dinamicamente tendras que tildar ahi y hacer el dhcp en la wan donde sale la vpn.

creo que tenes que leer el manual de vpn dialup, sino no vas a avanzar mas.

saludos
Gabriel

Gaby,

Lo logre!!! muchas gracias por tu ayuda.

Una consulta mas, es posible que el largo de la pre-shared key influya en el rendimiento del la conexión. O sea cuanto mas larga es mas pesada se vuelve la conexión.

Saludos y nuevamente gracias por todo.

Hola, como estas? no, la conexion va a depender de los dos extremos.

saludos
Gabriel

Gaby,

me esta dando este mensaje el forticlient "FortiShield blocked application: C:\WINDOWS\system32\SearchIndexer.exe modify: c:\archivos de programa\fortinet\forticlient\logs"

y no me permite conectarme.

que puede ser?