utm ssl vpn forigate

Log entry from UTM


2013:09:20-10:49:23 VPN ipsec_starter[6428]: Starting strongSwan 4.4.1git20100610 IPsec [starter]...
2013:09:20-10:49:23 VPN pluto[6440]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
2013:09:20-10:49:23 VPN ipsec_starter[6434]: pluto (6440) started after 20 ms
2013:09:20-10:49:23 VPN pluto[6440]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve
2013:09:20-10:49:23 VPN pluto[6440]: including NAT-Traversal patch (Version 0.6c)
2013:09:20-10:49:23 VPN pluto[6440]: Using Linux 2.6 IPsec interface code
2013:09:20-10:49:23 VPN pluto[6440]: loading ca certificates from '/etc/ipsec.d/cacerts'
2013:09:20-10:49:23 VPN pluto[6440]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2013:09:20-10:49:23 VPN pluto[6440]: loading aa certificates from '/etc/ipsec.d/aacerts'
2013:09:20-10:49:23 VPN pluto[6440]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2013:09:20-10:49:23 VPN pluto[6440]: Changing to directory '/etc/ipsec.d/crls'
2013:09:20-10:49:23 VPN pluto[6440]: loading attribute certificates from '/etc/ipsec.d/acerts'
2013:09:20-10:49:23 VPN pluto[6440]: listening for IKE messages
2013:09:20-10:49:23 VPN pluto[6440]: adding interface eth2/eth2 UTM-wan-adress:500
2013:09:20-10:49:23 VPN pluto[6440]: adding interface eth2/eth2 UTM-wan-adress:4500
2013:09:20-10:49:23 VPN pluto[6440]: adding interface eth1/eth1 192.168.0.1:500
2013:09:20-10:49:23 VPN pluto[6440]: adding interface eth1/eth1 192.168.0.1:4500
2013:09:20-10:49:23 VPN pluto[6440]: adding interface lo/lo 127.0.0.1:500
2013:09:20-10:49:23 VPN pluto[6440]: adding interface lo/lo 127.0.0.1:4500
2013:09:20-10:49:23 VPN pluto[6440]: adding interface lo/lo ::1:500
2013:09:20-10:49:23 VPN pluto[6440]: loading secrets from "/etc/ipsec.secrets"
2013:09:20-10:49:23 VPN pluto[6440]: loaded PSK secret for UTM-wan-adress FG-wan-adress
2013:09:20-10:49:23 VPN pluto[6440]: added connection description "S_VPN VPN"
2013:09:20-10:49:23 VPN pluto[6440]: "S_VPN VPN" #1: initiating Main Mode
2013:09:20-10:49:23 VPN pluto[6440]: ERROR: "S_VPN VPN" #1: sendto on eth2 to FG-wan-adress:500 failed in main_outI1. Errno 1: Operation not permitted

FortiGate 
ate Time 2013-09-20 10:58:33 Date 2013-09-20
Time 10:58:33
Level error error
Sub Type ipsec
ID 37124
Virtual Domain root
Message IPsec phase 1 error
Action negotiate
IPSec Remote IP UTM-WAN IP
IPSec Local IP 10.0.0.2
Remote Port 500
Outgoing Interface wan1
Local Port 500
Cookies 4d8b5ed58d486f52/0000000000000000
User N/A
Group N/A
XAUTH User N/A
XAUTH Group N/A
Status negotiate_error
VPN Tunnel N/A
Error Reason no matching gateway for new request
Peer Notification N/A

.....and i set the Fortigate in DMZ

.....and i set the Fortigate in DMZ

Which means?

But I really think the reaseon is that the fortigate only accepts connections which are addressed to 10.0.0.2. But the UTM talks to the DDNS-Adress.

In the ruter modem  i set the dmz at 10.0.0 2.
De militaryzed zone. Not sure of the spekling.

Means that the ip 10.0.0.2 is not behind nat fw router. Only dhcp.

If contacting wan ip. All u get is fortigate router.

internet->modem/router->fortigate->network
 Wan adress is first given to the modem/router(10.0.0.1/24)and FULL NAT all ports to Fortigate wan (10.0.0.2/24) and internal network is 10.0.2.0/24

The easiest way this can work is for the Fortigate to initiate the connection.  In the UTM, the Remote Gateway must be defined as "Respond only" with 'Authentication type: RSA key or PSK'.

More difficult: with either "Initiate connection" or "Respond Only," you can use "Remote X509 certificate" with 'VPN ID type: IP Address' and 'VPN ID: 10.0.0.2'.

Cheers - Bob