Site Info Site Info

Peer Sa Proposal Not Match Local Policy Fortigate

Peer Sa Proposal Not Match Local Policy Fortigate

Error "Peer SA Proposal Not Match Local Policy" en Fortigate indica un desacuerdo crítico en los parámetros de seguridad entre dos dispositivos que intentan establecer un túnel VPN (Virtual Private Network). Específicamente, la propuesta de seguridad (Security Association, SA) enviada por el dispositivo remoto (peer) no coincide con la política de seguridad configurada localmente en el Fortigate.

Un aspecto clave es el protocolo IPSec. Este error usualmente se relaciona con configuraciones incompatibles dentro de la fase 1 (IKE) o la fase 2 (IPSec) del establecimiento del túnel. La fase 1 se encarga de la autenticación y el intercambio seguro de claves, mientras que la fase 2 establece los parámetros de seguridad para el tráfico de datos real.

Algoritmos de cifrado y hash son otro factor crucial. El Fortigate y el dispositivo remoto deben acordar los algoritmos exactos que usarán para cifrar y autenticar el tráfico. Si el Fortigate está configurado para usar AES256 y SHA512, pero el peer propone AES128 y SHA256, se generará este error.

También es fundamental la clave precompartida (pre-shared key), utilizada para la autenticación inicial en algunos modos de operación. Si la clave precompartida en el Fortigate no coincide exactamente con la del peer, el túnel no se establecerá y este error será visible.

FortiGate Firewall Policy: Rules, Types & Configuration » Network Interview
FortiGate Firewall Policy: Rules, Types & Configuration » Network Interview

La configuración de los modos también influye. Se debe asegurar que ambos dispositivos utilicen el mismo modo de intercambio de claves (main mode o aggressive mode) si se utiliza IKEv1. IKEv2 generalmente simplifica este aspecto.

Ejemplo: Si el Fortigate está configurado para requerir Perfect Forward Secrecy (PFS) utilizando el grupo Diffie-Hellman 14, pero el peer no ofrece PFS o utiliza un grupo diferente, como el 5, el error aparecerá. Otro ejemplo sería una discrepancia en los rangos de direcciones IP permitidos para el tráfico encapsulado dentro del túnel IPSec.

Azure Site-to-Site VPN and Fortigate IPSec Phase 2 error on SA re
Azure Site-to-Site VPN and Fortigate IPSec Phase 2 error on SA re

Para solucionar el problema, revise exhaustivamente la configuración de IPSec en ambos extremos. Asegúrese de que los algoritmos de cifrado, hash, el grupo Diffie-Hellman (si se usa PFS), la clave precompartida (si aplica), y las redes protegidas sean idénticas en el Fortigate y en el dispositivo remoto.

En el mundo real, este error es común al integrar Fortigates con otros fabricantes o al migrar configuraciones IPSec existentes. Un diagnóstico preciso y una configuración meticulosa son esenciales para garantizar la conectividad segura a través de túneles VPN.

Gallery

Fortigate Local in Policy what it does and how to change/configure it
Cisco ASA to Fortigate VPN (Properly!) | PeteNetLive
SD-WAN on FortiGate (5.6)
Route-Based VPN Tunnel FortiGate Cisco ASA | Weberblog.net
FortiClient Solutions Endpoint Security Anytime, Anywhere - ppt download
Route-Based VPN Tunnel FortiGate Cisco ASA | Weberblog.net
FortiGate: SSL-VPN With FortiClient (AD Authenticated)
Route-Based VPN Tunnel FortiGate Cisco ASA | Weberblog.net