Fortigate, vpn entre dos equipos

Para hacer una VPN entre un fortigate y otro equipo (en este caso un ASA). Desde la web hay un documento muy bueno ( aquí ) con todas las opciones posibles. En este caso hacemos una vpn en modo routing.

Lo primero y mas importante, ponerse de acuerdo con el otro extremo en los parámetros que vamos a utilizar, así como las ips que vamos a hacer atravesar por el túnel (el «dominio de encriptacion» de los checkpoint).

Primero definimos la fase 1: VPN->Ipsec->Auto Key(IKE)->Create phase1 Nombre: el nombre del tunel IP address: ip del servidor de tuneles remoto Local Interface: interface de tu fortigate por el que vas a crear el tunel (normalmente el que tengas conectado a internet) Authentication method: En este caso pre-shared key

Opciones avanzadas: Enable IPsec advanced mode (marcado por defecto) Ike version: 1 en este caso Local gateway IP: Main interface ip si tienes la ip publica puesta ahí, o bien la especificas como en nuestro caso (la ip publica esta puesta como secundaria).

Ojo con esto que luego no te deja modificarlo, o lo pones bien a la primera o te toca borrarlo todo y empezar de nuevo. P1 proposal: Encriptacion y autenticacion (que te tienes que poner de acuerdo con el otro). DH group igual, lo que acordéis. Xauth disable y el nat transversal en disable (las ip’s de las vpns se alcanzan sin nats).

Ahora definimos la fase 2 P2 proposal: igual que el 1, lo que hayas acordado Quick mode selector: aquí es donde definimos el dominio de encriptacion, Source address son las ips locales y destination las remotas.

Ojo con esto, si no coincide exactamente con el otro lado empieza a dar errores de este tipo …»status=negotiate_error error_reason=peer notification peer_notif=INVALID-ID-INFORMATION» Con esto terminamos la definición del túnel.

Si todo ha ido bien te dejara crear objetos colgados del interfaz virtual que se ha creado con el nombre del túnel y podrás poner reglas con ellos.

Por ultimo, tienes que enrutar las ips remotas hacia el interface del túnel. Router->static->y creas la ruta. Desde el Gui se puede ver el estado del tunel: VPN->monitor->IPSEC monitor.

También se puede ver desde la linea de comandos (y da mucha mas información). diag debug en diag debug app ike -1

O poner un sniffer en una terminal diagnose sniffer packet any ‘host x.x.x.x′ y tirar un ping hacia algo del otro extremo del túnel en otra.

Por cierto, para hacer pings … exec ping-options source x.x.x.x (si necesitas que la ip de origen sea una de las que tienes definidas como locales (para atravesar el túnel)). exec ping x.x.x.x

Después de todo no te olvides de diag debug app ike 0 o la lías … Y listo, yo tuve problemas con el INVALID-ID-INFORMATION, estábamos migrando túneles desde un checkpoint y este es mas permisivo con los dominios de encriptacion (con los locales). El truco, según me contaron desde el soporte, es crear una fase 1 común y luego crear N fases 2 con todos los orígenes/destinos. Al final así lo hicimos funcionar contra un ASA. No me parece un sistema muy útil, pero bueno… por lo menos funciona. Un tutorial. Yo tuve que cambiar algunas cosas (el nat transversal)