Buenas, estoy configurando mi conexión VPN-IPSEC Fortigate 60B y FortiClient. Con el último Firmware 4.0.3 y la ultima versión del FortiClient 4.0.2. Estoy siguiendo los siguientes pasos y no hay forma que pueda establecer conexión satisfactoria.
Fortigate 60B
---- Local Certificates
* Generara solicitud Local Certificate (.CSR)
* Bajar solicitud al ordenador
* Ir a la entidad CA y asignar la solicitud
* Exportar el .cer
* Ir a Fortigate e Importar .cer -- Estado OK.
FortiClient PC
----My Certificates
* Generar(CSR)
* Ir a la entidad CA and y asignar solicitud
* Exportar.cer
* Ir a FortClient e Import .cer -- Estado CHECKED (blah..)
FortiGate 60B
---- CA Certificates
* Ir a la Entidad CA Entity exportar .cer para toda la CA.
* Subir .cer, Cert_1 Upload succesfully.
FortiClient PC
---- CA Certificates
* Ir a la Entidad CA Exportar .cer for para toda la CA.
* Subir.cer, me da un error así como que: DO YOU WANT SOMETHING IMPORTANT TO UPLOAD RA?
* El certificado de la CA no se muestra, si trato de cargarlo nuevamente me da un mensaje como "DO YOU WANT TO OVERWRITE?" pero al final no lo muestra si le digo que si. NO SE POR QUE?
En el Fortigate....debo cambiar PHASE 1, Authentication Method a RSA Certificate y luego me muestra el Local Certificate y que decía que estaba en estatus OK. Y tambien escojo la opción Accept any peer ID.
En Forticlient, debo editar la conexión y cambiar "Authetication Method" a X509 Certicate, luego me muestra el certificado verificado que está en My Certificates y lo selecciono.
Luego de todos estos cambios no hay manera de que pueda establecer la conexión VPN. No sé si se debe al error que estoy obteniendo en el FortiClient
NOTA: Las solicitudes de certificado se han generado con:
Fortigate:con la IP publica que está en la WAN1
FortiClient: con la IP interna asignada por el servidor DHCP en el sitio remoto.
Alguna idea?
FUTURIST 21
VPN-IPSEC con certificados AYUDA
Re: VPN-IPSEC con certificados AYUDA
Hola futurist21.
Te comento según tu mensaje...
Esto va OK... como dices más abajo, el CN (common name) para el certificado del FG es su IP... es correcto
Más abajo comentas que el CN para este certificado es la IP de la VPN... esto no es correcto. Lo correcto sería que el CN fuera por ejemplo el número de trabajador y su nombre completo (Ej: CN="2503984 Pedro Garcia").
Esto es OK
Eso no es un error... te pregunta sobre si quieres añadir una RA (Registration Authority), una entidad certificadora intermedia, que no creo que sea tu caso, le das que no y ya esta.
Esto es más raro... prueba a cerrar/abrir forticlient nada mas importarlo a ver si es por algún tema de refresco... yo ahora tengo instalado el FortiClient 4.0.2.57 y no tengo ningún problema.
uhmmm este paso no se si está mal... de todas formas te recomiendo que hagas un grupo de usuario de tipo "firewall" en el que añadas usuarios de tipo PKI, y entonces, en la configuración VPN, tendrías que elegir "accept this peer certificate only" y elegir el grupo de usuarios creado.
Correcto.
De todas formas, puedes hacer un debug de la conexión mediante consola. Te recomiendo que te conectes a través de SSH con un cliente como putty, que te permite hacer volcado a un archivo de texto de toda la información que va devolviendo el FG. Una vez conectado tecleas los siguientes comandos:
diag deb app ike 33333333333333333
diag deb enable
y entonces te aparecerá todo el proceso de conexión con el error que se produce.
Prueba lo que te comento y nos dices a ver...
Saludos.
Te comento según tu mensaje...
futurist21 escribió:
Fortigate 60B
---- Local Certificates
* Generara solicitud Local Certificate (.CSR)
* Bajar solicitud al ordenador
* Ir a la entidad CA y asignar la solicitud
* Exportar el .cer
* Ir a Fortigate e Importar .cer -- Estado OK.
Esto va OK... como dices más abajo, el CN (common name) para el certificado del FG es su IP... es correcto
futurist21 escribió:FortiClient PC
----My Certificates
* Generar(CSR)
* Ir a la entidad CA and y asignar solicitud
* Exportar.cer
* Ir a FortClient e Import .cer -- Estado CHECKED (blah..)
Más abajo comentas que el CN para este certificado es la IP de la VPN... esto no es correcto. Lo correcto sería que el CN fuera por ejemplo el número de trabajador y su nombre completo (Ej: CN="2503984 Pedro Garcia").
futurist21 escribió:FortiGate 60B
---- CA Certificates
* Ir a la Entidad CA Entity exportar .cer para toda la CA.
* Subir .cer, Cert_1 Upload succesfully.
Esto es OK
futurist21 escribió:FortiClient PC
---- CA Certificates
* Ir a la Entidad CA Exportar .cer for para toda la CA.
* Subir.cer, me da un error así como que: DO YOU WANT SOMETHING IMPORTANT TO UPLOAD RA?
Eso no es un error... te pregunta sobre si quieres añadir una RA (Registration Authority), una entidad certificadora intermedia, que no creo que sea tu caso, le das que no y ya esta.
futurist21 escribió:* El certificado de la CA no se muestra, si trato de cargarlo nuevamente me da un mensaje como "DO YOU WANT TO OVERWRITE?" pero al final no lo muestra si le digo que si. NO SE POR QUE?
Esto es más raro... prueba a cerrar/abrir forticlient nada mas importarlo a ver si es por algún tema de refresco... yo ahora tengo instalado el FortiClient 4.0.2.57 y no tengo ningún problema.
futurist21 escribió:En el Fortigate....debo cambiar PHASE 1, Authentication Method a RSA Certificate y luego me muestra el Local Certificate y que decía que estaba en estatus OK. Y tambien escojo la opción Accept any peer ID.
uhmmm este paso no se si está mal... de todas formas te recomiendo que hagas un grupo de usuario de tipo "firewall" en el que añadas usuarios de tipo PKI, y entonces, en la configuración VPN, tendrías que elegir "accept this peer certificate only" y elegir el grupo de usuarios creado.
futurist21 escribió:En Forticlient, debo editar la conexión y cambiar "Authetication Method" a X509 Certicate, luego me muestra el certificado verificado que está en My Certificates y lo selecciono.
Correcto.
futurist21 escribió:Luego de todos estos cambios no hay manera de que pueda establecer la conexión VPN. No sé si se debe al error que estoy obteniendo en el FortiClient
De todas formas, puedes hacer un debug de la conexión mediante consola. Te recomiendo que te conectes a través de SSH con un cliente como putty, que te permite hacer volcado a un archivo de texto de toda la información que va devolviendo el FG. Una vez conectado tecleas los siguientes comandos:
diag deb app ike 33333333333333333
diag deb enable
y entonces te aparecerá todo el proceso de conexión con el error que se produce.
Prueba lo que te comento y nos dices a ver...
Saludos.