从去年开始,Fortigate 60D和100D被用于在两个站点之间建立IPSec隧道。固件版本为5.2.4 build668。我打算将Fortigate 100D升级到5.4.1。升级过程很顺利,但是IPsec隧道在升级后被破坏了。

抵制60D IPSec隧道配置:

抵制100D I {秒隧道配置:

不幸的是,升级过程重新启动100D之后,60D和100D之间的隧道无法建立。根据100D设备上的以下故障排除命令,我们发现100D忽略了来自60D的IKE请求,原因是缺少Phase2提议配置。

diag debug reset
diag vpn ike log-filter clear
diag vpn ike log-filter dst-addr4 10.9.32.8
diag debug console timestamp enable
diag debug application ike -1
diag debug enable

我试图将第2阶段放在60D防火墙上。它显示从阶段1开始已经有阶段2自动配置。


FW-60D(p2) #
get
name : p2
phase1name :
use-natip : enable
selector-match : auto
proposal : aes128-sha1 aes256-sha1 3des-sha1 aes128-sha256 aes256-sha256 3des-sha256
pfs : enable
dhgrp : 14 5
replay : enable
keepalive : disable
auto-negotiate : disable
keylife-type : seconds
encapsulation : tunnel-mode
comments :
keylifeseconds : 43200

FW-60D (p2) #
set phase1name
<string> please input string value
f1-f2 phase1

FW-
60D (p2) # set phase1name f1-f2

FW-
60D (p2) # set selector-match
exact Match selectors exactly.
subset Match selectors by subset.
auto Use subset or exact match depending 上 selector address type.

FW-
60D (p2) # end
For autoconf-enabled phase1, a phase2 is already generated internally.
object set operator error, -5 discard the setting
Command fail. Return code -5

固件版本为5.2.5的60D似乎仍在使用自动配置的IPSec Phase2。但是100D升级到5.4.1后没有该配置。很快我手动将第2阶段配置放在100D中,隧道马上就建立了。

似乎在更新的固件版本中,FortiOS在IPSec阶段2更改了其默认配置。您将必须手动将阶段2的配置放入VPN。

通过 约翰

发表评论