Août 16 2010
Les Clients VPN IPSEC n’obtiennent pas d’adresse DHCP du Fortigate
Nous utilisons le client VPN Forticlient de Fortinet pour nous connecter à notre firewall Fortigate via l’encryption IPSEC. Nous aimerions donner aux clients une adresse IP par DHCP pour n’avoir rien d’autre à gérer que l’authentification des utilisateurs.
Les clients VPN dialup n’obtiennent pas d’adresse IP du Fortigate alors que le pool DHCP est bien créé et que l’option « DHCP-IPsec » est bien cochée dans les paramètres de la phase 2 du VPN. Une erreur IPSEC ESP est aussi remontée dans les logs.
Affecter une adresse IP statique au client permet de se connecter.
Le firewall reçoit bien des requêtes DHCP mais ne les renvoie pas dans le tunnel IPSEC. Pour résoudre le problème, une règle additionnelle de pare-feu doit être ajoutée pour encrypter le trafic DHCP – et DHCP seulement – depuis l’interface interne vers l’externe. Laissez les adresses source et destination à « any » puisque ceci est un problème IP niveau 2. Le client n’a pas encore reçu d’adresse! Sélectionnez « DHCP » comme service, IPSEC pour action, et enfin le tunnel VPN approprié.
La capture d’écran a été faite sur un Fortiwifi mais la configuration est la même pour tout Fortigate. Les clients IPSEC devraient maintenant obtenir une adresse IP dynamique via DHCP.
