Comunidad FORTIGATE.es

Hola.

Ante todo les comento que el equipo es un Fortinet 90D con el Firmware 5.6.2 Build 1486 (la ultima que esta disponible a la fecha)

Existe en el una VPN punto a punto contra un Cisco, el cual no presenta inconvenientes.

Hace tiempo estoy recibiendo este tipo de alertas:

Message meets Alert condition
date=2017-09-28 time=10:06:19 devname=FGT90DXXXXX devid=FGT90DXXXXXX logid="0101032312" type="event" subtype="vpn" level="error" vd="root" logtime=1506603978 logdesc="Progress IPsec phase 1" msg="progress IPsec phase 1" action="negotiate" remip=125.212.217.215 locip=MI IP WAN remport=500 locport=500 outintf="wan1" cookies="e5f858aed3412576/0000000000000000" user="N/A" group="N/A" xauthuser="N/A" xauthgroup="N/A" assignip=N/A vpntunnel="N/A" status="failure" init="remote" mode="main" dir="inbound" stage=1 role="responder" result="ERROR"

Las IP son variantes, hasta el momento tengo 6 Redes Wan enteras identificadas.

He agregado una regla, la primera en el orden bloqueando desde Any, hacia Any, desde ese grupo de ips (que estan definidas correctamente) y hacia cualquier IPs (All) y cualquier Puerto/Servicio.

Los ataques siguen sucediendo a pesar de ello.

Soy del mundo libre, de GNU/Linux y generalmente puedo ver más las cosas que aqui, y no entiendo porque los intentos de ataquen continuan.

Cualquier dado necesario o comentario es bienvenido.

Gracias de antemano.

Hola, esos logs no son logs de ataques, si no de la vpn ipsec que da algun error en phase1

GabyRossi, agradacido por el comentario.

Esa VPN no es la que esta funcionando en la interface, hay ataques de una IP, la 216.218.206.98, es una red muy conocida de robots o algo asi que ataca servidores. En este link [Debes identificarte para poder ver enlaces.] hay información al respecto.

Tengo entendido que esto se arregla con la edición de "local-in-policy" que solo puedo verlas, active esta opcion y me deja visualizar pero no estou logrando cambiarlas, incluso en el modo texto (CLI) me deja crear politicas en local-in-policy, pero hay una politica 0 que esta por sobre todas y ahí quede trabado. Si yo pudiera editar esto que dejo más abajo lo arreglaria. Esas politicas son demasiado permisivas, ya que aceptan conexiones de ANY y no puedo dejar solo el acceso a la IP que corresponde ingrese.