Fortigate VPN debug

Neste post vou demonstrar um procedimento de troubleshooting na VPN IPSEC do firewall Fortigate.

Muitas vezes o GUI de administração do firewall deixa a desejar quando é necessário fazer uma analise mais detalhada entre a troca de informações dos peers.

Por esse motivo iremos fazer uso do CLI para debugar o endereço do peer onde será estabelecido a VPN.

Habilitando o debug

diagnose vpn ike log-filter dst-addr4 200.200.200.1
diag debug application ike -1
diagnose debug enable

O endereço 200.200.200.1 deve ser o endereço do peer de destino no qual o firewall estará estabelecendo a VPN.

Desabilitando o debug

diagnose debug disable

Informações dos tuneis VPNs

get vpn ipsec tunnel details

Uma vez demonstrado os comandos, iremos simular uma VPN site-to-site entre dois fortigates, porém um deles estará divulgando em sua fase 2 o bloco de rede errado.

SITE A
Peer: 192.168.2.6
LAN: 10.20.0.0/24

fortigate_vpn_debug_02

SITE B
Peer: 192.168.2.7
LAN: 10.30.0.0/24

fortigate_vpn_debug_01

Como é possível visualizar, o túnel VPN se encontra UP, porém iremos alterar o bloco da rede do SITE B para demonstrar o erro através do debug.

Foi alterado a LAN 10.30.0.0/24 para 10.30.0.0/8

fortigate_vpn_debug_03

Agora iremos aplicar os comandos debug no SITE A

diagnose vpn ike log-filter dst-addr4 192.168.2.7
diag debug application ike -1
diagnose debug enable

Como pode ser visto no log do debug, foi descrito corretamente o problema.

fortigate_vpn_debug_04

Agora iremos verificar as configurações da VPN do SITE A através da CLI

get vpn ipsec tunnel details

fortigate_vpn_debug_05

E assim finalizamos mais um post.

Tags: