IPSEC Tunnel - No errores, la Fase 2 no comienza

Hola a todos,

Estoy intentando activar y hacer funcionar un túnel IPSEC y la fase 1 dice que la negociación fue exitosa según los registros, luego la fase 2 nunca intenta comenzar. La fase 1 se derriba y empieza de nuevo.

Estoy en FortiOS 7.0.5 fg60poe.

¿Alguien tiene alguna idea de qué podría estar pasando?

EDITAR

Perdón por la falta de detalles.

El origen es un Fortigate 60E con una conexión DSL de Frontier usando PPPoE en WAN1 con una IP estática (nota, no estoy usando la IP sin número para configurar la estática, eso no funcionaría por alguna razón)

El destino es un Cisco ASA con una IP estática. Tenemos 10 ubicaciones desplegadas con Fortigates, todas funcionaron correctamente en el túnel VPN, excepto esta ubicación. La única diferencia real aquí es la pieza PPPoE. Los configs deberían ser idénticos en todos ellos. Revisé el ASA, tiene las mismas políticas IPSEC aplicadas que las otras ubicaciones.

En la configuración de la fase 1, tengo NAT Traversal configurado como Habilitado (Así es como están configurados todos nuestros sitios)
La autenticación y la propuesta de la fase 1 coinciden con mis otros sitios exactamente.

Fase 2:
Subredes y objetos de direcciones nombradas fallaron para las direcciones local y remota.
Repeticiones Detectadas - No marcado
PFS habilitado - Marcado
Puerto Local - Marcado
Puerto Remoto - Marcado
Protocolo - Marcado
Auto-negociado - Marcado
Mantener vivo la clave automática - Marcado

EDITAR 2

Parece que esto se resolvió. Eliminé las entradas en el ASA y las recreé, y el túnel se levantó de inmediato. No estoy seguro de por qué eso hubiera marcado alguna diferencia, pero algo quedó atascado en algún lugar. ¡Gracias por todas las sugerencias!

Habilita la depuración del túnel en CLI, obviamente debes reemplazar 1.1.1.1 con el otro extremo del punto final del túnel IPsec.

diag vpn ike log-filter dst-addr4 1.1.1.1 
diagnose debug console timestamp enable 
diagnose debug app ike -1
diagnose debug enable

Deshabilita la depuración cuando termines:

diag debug reset

Feliz lectura, habrá mucho output para revisar.

Intenta enviar algo de tráfico por el túnel y mira si la fase 2 comienza a levantarse.

Bueno, comparte más detalles sobre el otro dispositivo.

Cuando esto me sucede, casi siempre son los selectores de fase. Normalmente uso 0.0.0.0 0.0.0.0 en ambas redes y hago una ruta estática.

Tuve un problema similar. Intenta reiniciar la puerta y ve si la fase 2 se levanta después de eso.

Pasé horas sin resolver y mucho más con TAC. Finalmente, nos rendimos a entender el problema raíz. Algo con el firmware, quizás. Esto fue en la versión 6.4.7 en un par en HA.

¿Puedes compartir la configuración?
¿Tienes una política configurada?
¿Tienes rutas configuradas?

1.) ¿Qué dispositivo está en el otro lado?
Si no es un Fortigate, tal vez debas considerar recomendaciones de otro proveedor. Quizás debas volver a IKEv1.

2.) El éxito en la negociación no significa que haya iniciado un SPI. Quizás el Fortigate y el otro dispositivo hayan hablado y el Fortigate tenga un IKE que coincida, pero no esté configurado correctamente por políticas de enrutamiento, firewall, DNS, contraseñas, certificados, DPD o auto-negociación, entre otros. Solo la propuesta (AES128/SHA512/DH21) coincido…

3.) ¿Hay NAT-T o no?
¿Recibiste tráfico en IP50 o TCP 4500/500?

4.) ¿Es en modo túnel o modo interfaz?

Y no es común, pero en algunas configuraciones, un problema con la fase 2 puede afectar la fase 1.

¿Podrías publicar la configuración CLI de ambos lados? Porque interfases como Fortigate a ASA son configuraciones comunes.

Muchas interpretaciones diferentes pueden existir en cómo funciona IKEv2 de un proveedor a otro.

Usé “set auto-negotiate enable” en la configuración de fase 2.

Hice esto y intenté revisar. No veo fallos ni errores (nada obvio). Veo un mensaje sobre que no se detectó el payload nat-d.

¿Alguna idea sobre eso?

Estoy casi seguro de que hacía esto, pero no estoy seguro. Tuve que salir del sitio, pero lo intentaré en breve.

Intenté enviar tráfico de ambos lados, pero el túnel no se levanta.

Reinicié, y no funciona.

Para solucionar esto sin reiniciar, eliminé todas las partes, direcciones, grupos de direcciones, rutas, etc., que usó el asistente para construir el túnel.

El ASA aún mantiene el número de Fortinet en la estabilidad del túnel, jajaja, tengo ASA que no se reinician hace muchos años

Tendré que publicar esta información cuando pueda volver a una computadora. Tengo políticas y rutas configuradas.

Actualicé mi post original con información adicional. Tengo las rutas y políticas en su lugar.

Gracias por esto. Investigaré más este fin de semana para resolverlo. Tengo unas horas de camino a casa, pero tengo acceso remoto.

Publica lo que veas aquí para que podamos revisarlo.

Asegúrate de obtener los outputs de estos comandos de depuración mientras RESPONDES a las solicitudes VPN. Es decir: pide a tu par que inicie el túnel en lugar de enviar tráfico tú mismo.