FortiGate IPsec VPN:配置多个第 2 阶段连接(多个子网)
Fix*_*ker 4 vpn ipsec fortinet openswan fortigate
我正在尝试使用 OpenSwan 与 FortiGate 路由器建立 IPsec 连接。FortiGate 位于两个不同的子网中,我需要访问这两个子网。在 FortiGate 中,我定义了一个阶段 1 连接和一个阶段 2 连接。这使我能够成功连接到其中一个子网。
我需要能够同时访问两个子网。公认的智慧似乎是在 OpenSwan 中创建两个单独的连接(每个子网一个),并且在建立附加连接时,它将自动尝试重用现有的第 1 阶段隧道(在为附加连接创建新的第 2 阶段隧道时)。
当我启动这两个连接时,根据日志,OpenSwan 似乎陷入了尝试依次重新协商每个连接的连续循环中(我每次只能 ping 一个子网)。我猜测这是因为 FortiGate 在尝试新连接时会断开现有连接。
我有以下问题:
我应该如何配置 FortiGate 以允许来自同一 IPsec 启动器的两个并发连接(每个子网一个连接)?这可能吗?(文档对此似乎有点含糊。)
我是否需要专门将 FortiGate 中的第 2 阶段连接关联到特定子网,如果是这样,我该如何执行此操作?
在同一端点之间建立多个 IPsec VPN 连接时是否存在任何问题/陷阱?
1和2)你是正确的,phase 2在某些情况下你需要两个。例如,在处理额外的安全性时(例如,前面的防火墙策略流程),phase 2需要将两个子网拆分为两个子网。除非您没有这种复杂性并且可以创建quick mode selectors足够宽的子网以包含同一phase 2.
3)多个phase 1?是的。会像你描述的那样掉落。多个phase 2s 具有相同的phase 1? 它不会掉落。
我不知道 openswan,但 FortiOS 至少支持该IPsec规范。最好的办法是在两侧进行调试,看看究竟发生了什么。
小智 5
我无法在 OpenSwan 方面为您提供帮助,但我最近也必须将 Cyberoam 连接到具有多个子网的 Fortigate。对于每个子网,您可以创建另一个阶段 2(绑定到相同的阶段 1 对象):
以下是此类第 2 阶段对象的示例:
在快速模式选择器部分中,指定本地地址和子网,这是与其他阶段 2 对象不同的地方。就我而言,我创建了地址对象(在防火墙菜单下)以实现可重用。
在我们的 fortigate 上,我们为每个子网使用不同的物理端口,因此我们为每个子网创建了一个 VPN 策略:
我希望这可以帮助您解决问题。
PS:我已经重命名了屏幕截图上的大部分内容,最好给出更有意义的名称。
| 归档时间: |
|
| 查看次数: |
40764 次 |
| 最近记录: |