[GTER] IPSec entre Juniper e fortigate
Douglas Fischer
fischerdouglas at gmail.com
Wed Jul 15 21:32:35 -03 2015
Capisco...
Está usando IPsec puro?
E considera outro modelo de VPN?
Em algumas plataformas alguns protocolos costumam ser mais maleáveis.
L2TP/IPsec por exemplo.
Não quero ensinar padre-nosso a vigário, mas cachorro mordido de cobra...
Não sei como é o Juniper e o Fortinet, mas com Cisco, além das rotas e do
Crypto-Map, algo que costuma dar dor de cabeça em VPN em StoS é NAT...
/*Android told-me that this text should be at bottom.*/
Em 15/07/2015 21:19, "Claudio Junior" <csjunior at gmail.com> escreveu:
> Douglas
>
> Isto não é uma opção. Temos que assumir que os firewalls, roteadores podem
> fazer isto, é o que o fornecedor vende.
>
> Andei pesquisando e achei o seguinte:
>
>
> http://socpuppet.blogspot.com.br/2013/09/vpn-ikev2-juniper-to-fortigate-routevpn.html
>
>
> http://socpuppet.blogspot.com.br/2013/09/vpn-ikev2-juniper-to-fortigate-routevpn_10.html
>
>
> Acredito que o problema pode ser esta versão do IKE. Já pedi para os
> responsáveis pela implementação me passarem informações sobre.
>
>
> Att.
>
>
>
> --
> Claudio da Silva Junior
> csjunior at gmail.com
>
> Em 15 de julho de 2015 18:37, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
>
> > Sugestão:
> > Tire o roteamento da caixa da VPN.
> > Faça VPN site-to-site mapeando apenas um /32 em cada lado.
> >
> > Use um Switch L3(ou router) da rede interna em cada lado e suba um tunnel
> > IPinIP ou GRE entre essas duas caixas.
> > Use os IPs /32 da VPN como tunnel source e destination.
> >
> > Feito isso, subir rota estática ou até protocolo de roteamento fica
> > brincadeira de criança.
> >
> > /*Android told-me that this text should be at bottom.*/
> > Em 15/07/2015 17:42, "Claudio Junior" <csjunior at gmail.com> escreveu:
> >
> > > Ola pessoal
> > >
> > > Estamos com um fato curioso sobre uma configuração de um ipsec entre um
> > > Juniper e um Fortigate.
> > >
> > > Observamos que quando configuramos mais de duas redes a serem roteadas
> > pelo
> > > ipsec, começamos a ter perca de pacotes. Detectamos no Fortigate que há
> > uma
> > > troca entre as policys configuradas sendo que uma é desativada e a
> outra
> > > ativada e assim vai.
> > >
> > > Conseguimos estabilizar o tunel com somente duas policy configurada. O
> > > engraçado é que na ponta A (juniper) existe mais VPNs configuradas, mas
> > não
> > > sei dizer qual o equipamento na outra ponta, sendo que não tenho acesso
> > ao
> > > equipamento.
> > >
> > > Na ponta B (fortigate), temos ipsec com mikrotik configurada, sendo que
> > > possui mais de uma rede mapeada nas policy.
> > >
> > > Uma sugestão é que o juniper esta configurado o ipsec para fazer o
> > > mapeamento de redes como route e não policy. Não conheço como
> configurar
> > o
> > > juniper, e para isto preciso saber o que perguntar para estar certo
> > disto.
> > >
> > > Fiz algumas pesquisas no google, mas o que consegui até agora foram
> > > exemplos de configuração do Juniper. Vou ter que analisar isto.
> > >
> > > Estou indo pelo caminho certo?
> > >
> > > Obrigado
> > >
> > >
> > > --
> > > Claudio da Silva Junior
> > > csjunior at gmail.com
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list