Comunidad FORTIGATE.es

saludos listeros!!!
antes que nada permitanme saludarles ya que soy nuevo en el foro, pues bien la duda que tengo para ver si pudieran orientarme es la siguiente, llevo dos dias peleando con mi fortinet y un openswan ya que necesito hacer las interconexiones en mi fortinet lo tengo asi:

Fase 1
Modo Agresivo
Preshared key
encripcion Aes128 - MD5
DH 5
Nat transversal = yes
dead perr detection = yes

Fase 2
Encripcion 3des-md5
PFS activado
DH Group 1
autokey keep alive yes

y ahora viene la hora cuchi cuchi, en el openswan lo tengo:

conn Fortinet
aggrmode=yes
auth=esp
authby=secret
auto=start
compress=yes
esp=aes-128-md5
ike=3des-md5-modp1536
ikelifetime=1880s
keyingtries=10
left=ellinux.homeunix.net
leftnexthop=%direct
leftrsasigkey=MI RSA
leftsubnet=10.0.0.0/24
pfs=yes
right=elfortinet.no-ip.org
rightsubnet=192.9.201.0/24

y no conecta el fortinet me manda a volar por cualquier cosa, busque en el forti care pero las instrucciones se me hicieron casi iguales a mi conf, que creen uds que sea posible?, googleando no encontre mucha informacion y bueno, por eso me anime a preguntar... gracias

Hola, como estas? En los 2 equipos que tipo de wan tienes? ip publica fija?

en el fortigate en la phase2 pusiste los selectores, las redes como soruce y destino?

en el log ue mensaje de error te da?

si en la consola del fortigate haces:
diagnose debug enable (enter)

diagnose debug application ike -1


que te muestra???
es la unia vpn armada que tenes?

saludos

hola!! buenos dias no, no son ip fija son adsl con ip dinamica por eso los enlazamos con dyndns, y si en esta red es la unica vpn que se tiene, de hecho si fuera conexion fortinet vs fortinet "me estaria riendo" pero ahora no =(

el log me da algunos errores deja pego los mas "recientes"
8 2009-12-17 01:46:11 error negotiate Responder: parsed 189.136.66.164 aggressive mode message #1 (ERROR)
9 2009-12-17 01:46:11 error negotiate Negotiate SA Error: Peer's SA proposal does not match local policy.
10 2009-12-17 01:46:01 error negotiate Responder: parsed 189.136.66.164 aggressive mode message #1 (ERROR)
11 2009-12-17 01:46:01 error negotiate Negotiate SA Error: Peer's SA proposal does not match local policy.
12 2009-12-17 01:46:00 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
13 2009-12-17 01:45:45 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
14 2009-12-17 01:45:38 error negotiate Responder: parsed 189.136.66.164 aggressive mode message #1 (ERROR)
15 2009-12-17 01:45:38 error negotiate Negotiate SA Error: Peer's SA proposal does not match local policy.
16 2009-12-17 01:45:30 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
17 2009-12-17 01:45:15 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
18 2009-12-17 01:45:00 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
19 2009-12-17 01:44:58 error negotiate Responder: parsed 189.136.66.164 aggressive mode message #1 (ERROR)
20 2009-12-17 01:44:58 error negotiate Negotiate SA Error: Peer's SA proposal does not match local policy.
1 2009-12-17 01:47:28 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
2 2009-12-17 01:47:10 error negotiate Responder: parsed 189.136.66.164 aggressive mode message #1 (ERROR)
3 2009-12-17 01:47:10 error negotiate Negotiate SA Error: Peer's SA proposal does not match local policy.
4 2009-12-17 01:47:08 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
5 2009-12-17 01:46:53 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
6 2009-12-17 01:46:38 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
7 2009-12-17 01:46:30 error negotiate Responder: parsed 189.136.66.164 aggressive mode message #1 (ERROR)
8 2009-12-17 01:46:30 error negotiate Negotiate SA Error: Peer's SA proposal does not match local policy.
9 2009-12-17 01:46:23 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)

corri tu comando en el fortinet

FGT60B3908651167 # diagnose debug enable



FGT60B3908651167 # diagnose debug application ike 1



FGT60B3908651167 # diagnose debug application ike0:VPN Agua:7456: could not send IKE Packet(agg_i1send):189.145.61.25:500->189.136.66.164:500, len=548: error 101:Network is unreachable

10:VPN Agua:7457: could not send IKE Packet(agg_r1send):189.145.61.25:500->189.136.66.164:500, len=408: error 101:Network is unreachable

0:VPN Agua:7457: could not send IKE Packet(ISKAMP SA DELETE-NOTIFY):189.145.61.25:500->189.136.66.164:500, len=76: error 101:Network is unreachable

0:VPN Agua: responder error processing 1st msg from 189.136.66.164

0:VPN Agua:7458: could not send IKE Packet(agg_i1send):189.145.61.25:500->189.136.66.164:500, len=548: error 101:Network is unreachable

0:VPN Agua:7459: could not send IKE Packet(agg_i1send):189.145.61.25:500->189.136.66.164:500, len=548: error 101:Network is unreachable
0:VPN Agua:7460: could not send IKE Packet(agg_i1send):189.145.61.25:500->189.136.66.164:500, len=548: error 101:Network is unreachable

0:VPN Agua:7461: could not send IKE Packet(agg_r1send):189.145.61.25:500->189.136.66.164:500, len=408: error 101:Network is unreachable

0:VPN Agua:7461: could not send IKE Packet(ISKAMP SA DELETE-NOTIFY):189.145.61.25:500->189.136.66.164:500, len=76: error 101:Network is unreachable

0:VPN Agua: responder error processing 1st msg from 189.136.66.164

se me olvidaba! en el quick mode selector lo deje en blanco, lo que pasa que cuando yo hacia mas vpn's era con el fortinet 50 y el 50 A cuando el firmware era el 2.6 (hace algunos años atras) y el quick mode no recuerdo haberlo programado =(

saludines!!

cambié de dyndns a noip y ahora el debug arroja esto:

FGT60B3908651167 # 0: no phase1 configuration matching 189.136.66.164:500->189.145.61.25 13
0:VPN Agua:7564: could not send IKE Packet(agg_i1send):127.0.0.1:500->69.65.19.125:500, len=548: error 101:Network is unreachable

0:VPN Agua:7565: could not send IKE Packet(agg_i1send):127.0.0.1:500->69.65.19.125:500, len=548: error 101:Network is unreachable

0:VPN Agua:7566: could not send IKE Packet(agg_i1send):127.0.0.1:500->69.65.19.125:500, len=548: error 101:Network is unreachable

0: no phase1 configuration matching 189.136.66.164:500->189.145.61.25 13

0:VPN Agua:7567: could not send IKE Packet(agg_i1send):127.0.0.1:500->69.65.19.125:500, len=548: error 101:Network is unreachable

0:VPN Agua:7568: could not send IKE Packet(agg_i1send):127.0.0.1:500->69.65.19.125:500, len=548: error 101:Network is unreachable

0: no phase1 configuration matching 189.136.66.164:500->189.145.61.25 13

pero segun yo mi fase uno todo esta bien =(

Hola, omo estas? el error que apareccia primero era de modo agresivo error. alguno tenes en mod0o main????

luego aparece que la ip no es la correcta o que no la encuentra.
en la phase una apuntas al nombre del dyndns? de los 2 lados?

saluds

creeras que no?, osea todo lo tengo en modo agresivo porque penosamente el modo main nunca lo supe usar y siempre manejo agresivo, los dos lados estan en aggressive mode, y si, en las dos fases manejamos dyndns, osea los dos tiene ip publica dinamica,

de hecho mira en este ultimo log de hace un ratito me marco asi, como si no alcanzara a resolver el nombre justamente

1 2009-12-17 15:17:48 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
2 2009-12-17 15:17:33 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
3 2009-12-17 15:17:18 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
4 2009-12-17 15:17:15 error negotiate Negotiate SA Error: No matching gateway for new phase 1 request.
5 2009-12-17 15:17:03 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
6 2009-12-17 15:16:48 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
7 2009-12-17 15:16:35 error negotiate Negotiate SA Error: No matching gateway for new phase 1 request.
8 2009-12-17 15:16:33 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
9 2009-12-17 15:16:18 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
10 2009-12-17 15:16:05 error negotiate Negotiate SA Error: No matching gateway for new phase 1 request.
11 2009-12-17 15:16:03 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
12 2009-12-17 15:15:48 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
13 2009-12-17 15:15:39 error negotiate Negotiate SA Error: No matching gateway for new phase 1 request.
14 2009-12-17 15:15:33 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
15 2009-12-17 15:15:18 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
16 2009-12-17 15:15:03 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)
17 2009-12-17 15:14:48 error negotiate Initiator: sent 189.136.66.164 aggressive mode message #1 (ERROR)

a ver, como dijo alguna vez mi profesor en el colegio, si fallas, borra y vuelve a empezar, comento que inicie un nuevo tunel en main mode despues de leer algunas cosas en internet medio encontre algo de el "main mode" entonces quedo la configuracion asi:

Fortinet

Fase 1
Remoto: dyndns
modo: Main
auth preshared key
proposal 3des-md5
dh group 1- 5
keylife 28800
nat transversal = yes
dead peer detection = yes

Fase 2
p2 proposal 3des-md5
pfs activado
dh grupo 5
keylife = 1800
autokey keep alive = yes
"Quick mode selector" => vacio pq no se como usarlo


y del lado de mi openswan quedo asi:

conn oficina
auth=esp
authby=secret
auto=add
esp=3des-md5!;modp1536
ikelifetime=1800s
keyingtries=10
keylife=28800s
left=dyndns.redirectme.net
leftid=@syndns.redirectme.net
leftnexthop=%defaultroute
leftrsasigkey=mi key
leftsubnet=10.0.0.0/24
pfs=yes
right=oficinafortinet.no-ip.org
rightid=@oficinafortinet.no-ip.org
rightnexthop=%defaultroute
rightsubnet=192.9.201.0/24
ike=3des-md5!
keyexchange=ike



y con eso queda un log asi:

1 2009-12-17 16:18:49 notice negotiate Initiator: sent 189.136.66.222 main mode message #3 (OK)
2 2009-12-17 16:18:49 notice negotiate Initiator: sent 189.136.66.222 main mode message #2 (OK)
3 2009-12-17 16:18:48 notice negotiate Initiator: sent 189.136.66.222 main mode message #1 (OK)
4 2009-12-17 16:18:48 notice delete_phase1_sa Deleted an Isakmp SA on the tunnel to 189.136.66.222:500
5 2009-12-17 16:18:29 notice negotiate Initiator: sent 189.136.66.222 main mode message #3 (OK)
6 2009-12-17 16:18:29 notice negotiate Initiator: sent 189.136.66.222 main mode message #2 (OK)
7 2009-12-17 16:18:28 notice negotiate Initiator: sent 189.136.66.222 main mode message #1 (OK)
8 2009-12-17 16:18:28 notice delete_phase1_sa Deleted an Isakmp SA on the tunnel to 189.136.66.222:500


y en el CLI (gracias por el comando me ayudo bastante) queda algo asi:

salto del agua: ISAKMP SA SPI b10e7fad37a1b043/27767ab9753fba5f malformed or expired
0:salto del agua: ISAKMP SA 1bbcdebfeb3e9909/603cbfb5d4d77a53 not found for informational msg from 189.136.66.222
0:salto del agua:9110: add initial-contact
0:salto del agua: ISAKMP SA SPI 1bbcdebfeb3e9909/603cbfb5d4d77a53 malformed or expired
0:salto del agua: ISAKMP SA 680b0167ad2ad8c4/42f7a729a1ea1b9f not found for informational msg from 189.136.66.222
0:salto del agua:9111: add initial-contact
0:salto del agua: ISAKMP SA SPI 680b0167ad2ad8c4/42f7a729a1ea1b9f malformed or exp0:salto del agua: ISAKMP SA 7f1366a0f29a86ae/cea750c91c0f143e not found for informational msg from 189.136.66.222
0:salto del agua:9119: add initial-contact
0:salto del agua: ISAKMP SA SPI 7f1366a0f29a86ae/cea750c91c0f143e malformed or expired
0:salto del agua: ISAKMP SA 7107587d0336d520/d5e404ae1f6e73a2 not found for informational msg from 189.136.66.222
0:salto del agua:9120: add initial-contact

ahora no pasa a las siguientes fases, mi teoria es que el fortinet tarda en autentificarme y el oenswan dice "el sitio estamuerto" cierro mi tunel, porque por parte de openswan tengo un status asi:

000 #34: "oficina":500 STATE_MAIN_R2 (sent MR2, expecting MI3); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0); idle; import:not set
000 #31: "oficina":500 STATE_MAIN_R2 (sent MR2, expecting MI3); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0); idle; import:not set
000 #2: "oficina":500 STATE_MAIN_I3 (sent MI3, expecting MR3); none in -1s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate
000 #2: pending Phase 2 for "oficina" replacing #0
000 #2: pending Phase 2 for "oficina" replacing #0
000 #32: "oficina":500 STATE_MAIN_R2 (sent MR2, expecting MI3); EVENT_RETRANSMIT in 28s; lastdpd=-1s(seq in:0 out:0); idle; import:not set
000 #33: "oficina":500 STATE_MAIN_R2 (sent MR2, expecting MI3); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0); idle; import:not set
000

mira le active el dead peer detection y por el lado de openswan marca esto:

[root@excalibur-netcafe ipsec.d]# /usr/sbin/ipsec auto --upoficina
104 "chevrolet" #2: STATE_MAIN_I1: initiate
003 "chevrolet" #2: received Vendor ID payload [RFC 3947] method set to=109
003 "chevrolet" #2: received Vendor ID payload [Dead Peer Detection]
106 "chevrolet" #2: STATE_MAIN_I2: sent MI2, expecting MR2
003 "chevrolet" #2: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected
108 "chevrolet" #2: STATE_MAIN_I3: sent MI3, expecting MR3
003 "chevrolet" #2: we require peer to have ID '@DYNDNSFORTINET.no-ip.org', but peer declares '1x9.145.61.25'
218 "chevrolet" #2: STATE_MAIN_I3: INVALID_ID_INFORMATION

(por seguridad puse manualmente la x en el octeto de la red para postearlo)

Hola, ok y como hiciste la policitica de vpn ?? en el soruce y destino pusiste las redes¿?

saludos

la politica en el firewall de fortinet seria asi:

source destination Action
192.9.201.0/24 10.0.0.0/24 Encrypt

donde encrypt apunta al Autokey tunel (es el unico que hay)

allow inbound y outbound activados

creeme que si antes que me respondas pego logs y pego todo porque como dije al principio del post, no busco mehagan mi trabajo, solo busco ayuda y obviamente estoy tambien buscandole en howtos y todo para ver tambien por donde podria ser

saludos!