Ik moet een site-to-site VPN maken met Fortigate, maar wanneer ik de VPN instel, stoppen de WAN-interfaces met pingen en ook de tunnelinterface is down. Krijg een melding ‘ongeldige id’ in de IPsec-log. Fase 1 is actief, maar er is een fout in fase 2.
Hulp nodig
Lijkt op een routingprobleem.
Controleer ook fase 2 goed; als je meer dan één netwerk doorstuurt, moet dit mogelijk opgesplitst worden over meerdere fase 2-verbindingen of andersom.
CLI-configuratie geeft meer details dan GUI op de Fortigate over het troubleshooten van fase 2.
Bewerking: meer info nodig over routing en IPsec om je probleem te begrijpen.
Vandaag had ik dat probleem en ik heb al mijn VPN-configuraties verwijderd en de site-to-site VPN opnieuw ingesteld met de Fortinet-configuratie en dat werkte.
Wanneer je een SA opzet met een CP-firewall, moet je expliciet de beveiligingsassociaties in je P2-configuratie mappen. Als je ze simpelweg op 0.0.0.0/0 laat staan en routes gebruikt op de FortiGate, of de IP’s in een benoemde objectgroep plaatst, zal dat falen omdat de CP verschillende P2-voorstellen voor elke SA-paar verwacht.
Ik weet niet of dat in jouw geval van toepassing is, maar het heeft me vaak in eerdere migraties voor de voeten gelopen.
Bedankt, het is gedaan met de IPsec-tunnel wizard en daarna geconverteerd naar een aangepaste tunnel voor de voorstellen van fase 1 en 2. Het werkt perfect.
Hoe defineer je het “interessante verkeer” voor de VPN? Als je 0.0.0.0/0 specificeert, breng je waarschijnlijk je internet naar beneden wanneer de tunnel probeert op te zetten, omdat al het verkeer via de tunnel gaat.
Gaat de interface down op de Fortigate of de Checkpoint?
Heb je een debug gedaan? Het vertelt je waar het probleem zit.
Maak van de Checkpoint de initiator en voer de debug uit. De CLI zal je laten zien waar de fout zit.
Dit heb ik ook geleerd bij S2S VPN’s tussen FortiGate en andere vendor-firewalls. Ik heb echter deze gids gevonden en deze één keer uitgeprobeerd in een S2S VPN tussen FortiGate en Azure VNET VPN, dat erg onstabiel was (valt elke minuut weg), en dit werkte voor mij.
Gids: Technical Tip: Dynamic creation of IPsec tunnels (... - Fortinet Community
Het scenario dat je beschrijft, is alleen mogelijk bij een dialup-tunnelhub (set type dynamic) als deze is ingesteld om ontvangen fase 2-selector te injecteren in de routingtafel (set add-route enable); in plaats van dynamisch te routeren.
Dit kan niet gebeuren bij een dialup-spreker, noch bij een site-to-site-peering (set type dynamic).