4 votes

Kyle Johnson avatar

FortiGate VPN IPsec : Configuration de connexions Phase 2 multiples (sous-réseaux multiples)

Demandé el 24 de Janvier, 2013
Quand la question a-t-elle été
36532 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je tente de créer une connexion IPsec vers un routeur FortiGate en utilisant OpenSwan. Le FortiGate se trouve sur deux sous-réseaux distincts et j'ai besoin d'accéder aux deux. Dans le FortiGate, j'ai défini une connexion de Phase 1 et une connexion de Phase 2. Cela me permet de me connecter avec succès à un des sous-réseaux.

J'ai besoin d'accéder aux deux sous-réseaux en même temps. Il semble que la sagesse populaire soit de créer deux connexions distinctes (une par sous-réseau) dans OpenSwan et lors de l'établissement d'une connexion supplémentaire, il tentera automatiquement de réutiliser un tunnel de phase 1 existant (lors de la création d'un nouveau tunnel de phase 2 pour la connexion supplémentaire).

Quand j'établis les deux connexions, selon les journaux, il semble qu'OpenSwan soit piégé dans une boucle continue de tentatives de renégociation de chaque connexion à tour de rôle (je ne peux pinger qu'un seul sous-réseau à la fois). Je suppose que c'est parce que le FortiGate abandonne la connexion existante lorsqu'une nouvelle est tentée.

J'ai les questions suivantes:

  • Comment devrais-je configurer le FortiGate pour permettre deux connexions simultanées à partir du même initiateur IPsec (une connexion par sous-réseau)? Est-ce même possible? (La documentation semble un peu vague à ce sujet.)

  • Dois-je associer spécifiquement une connexion de phase 2 dans le FortiGate à un sous-réseau spécifique, et si oui, comment puis-je procéder?

  • Y a-t-il des problèmes/pieges à éviter lors de la création de connexions VPN IPsec multiples entre les mêmes points terminaux?

Demandé el 24 de Janvier, 2013 par Kyle Johnson

Réponses

Trop de publicités?

5voto

mbrownnyc avatar
mbrownnyc Points 1825

1 & 2) Vous avez raison que vous avez besoin de deux phase 2, dans certains cas. Par exemple, lors de la gestion de la sécurité supplémentaire (précédemment dans le flux des politiques de pare-feu), il est nécessaire de diviser deux sous-réseaux sur deux phase 2. À moins que vous n'ayez pas cette complexité et puissiez créer des sélecteurs de mode rapide assez larges pour englober les deux sous-réseaux dans le même phase 2.

3) Plusieurs phase 1? Oui. Il tombera comme vous le décrivez. Plusieurs phase 2 avec le même phase 1? Il ne tombera pas.

Je ne connais pas openswan, mais le FortiOS prend en charge au moins les spécifications de IPsec. Votre meilleure option est de déboguer des deux côtés et de voir exactement ce qui se passe.

Répondu el 30 de Mars, 2013 par mbrownnyc (1825 Points )

5voto

Toby Champion avatar
Toby Champion Points 1453

Je ne peux pas vous aider du côté OpenSwan, mais récemment j'ai dû connecter un Cyberoam à un Fortigate avec plusieurs sous-réseaux également. Pour chaque sous-réseau, vous pouvez créer une autre phase 2 (liée au même objet phase 1) :

entrer la description de l'image ici

Voici un exemple d'un tel objet phase 2 :

entrer la description de l'image ici

Dans la section du sélecteur de mode rapide, spécifiez l'adresse locale et le sous-réseau, c'est ce qui est différent des autres objets de phase 2. Dans mon cas, j'ai créé des objets d'adresse (sous le menu pare-feu) pour la réutilisation.

Sur notre fortigate, nous utilisons un port physique différent pour chaque sous-réseau, donc nous avons créé une politique VPN pour chaque sous-réseau :

entrer la description de l'image ici

J'espère que cela vous aidera du côté fortigate.

PS : J'ai renommé la plupart des choses sur la capture d'écran, il est préférable de donner des noms plus significatifs.

Répondu el 31 de Décembre, 2014 par Toby Champion (1453 Points )

0voto

Junior Taitt avatar
Junior Taitt Points 1

J'ai rencontré ce problème exact entre le pare-feu Cisco ASA et le pare-feu FortiGate. La réponse ci-dessus est correcte. Vous avez besoin de plusieurs sélecteurs de phase2 sinon le pare-feu FortiGate essaiera d'utiliser la même SA pour plusieurs sous-réseaux au lieu de créer une nouvelle SA. Cela se traduit par un seul sous-réseau fonctionnant à la fois. Seulement un phase1 est requis cependant.

Répondu el 3 de Février, 2020 par Junior Taitt (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X