Fortigate v5.0與v5.4.1 site to site VPN建不起來

fortigate vpn

yu506yu 2020-05-19 16:14:28 ‧ 4512 瀏覽

分享至

目前要把兩個廠的防火牆做site to site vpn，可是一直建不起來，不知是哪裡有問題
版本分別是v5.0,build3608與 v5.4.1,build1064，設定比對了一下都一樣，但就是建不起來，在5.4那台一直有Progress IPsec phase 1 negotiate success的訊息，在5.0那台上什麼訊息都沒有，一直不知該怎麼做，請各位高手指點一下吧。

https://kb.fortinet.com/kb/documentLink.do?externalID=FD30023
有查到forti的文件，是5.0跟5.2對連，寫的很簡單，但做出來一樣還是不行啊。

目前還是無解，只好放棄這個作業，感謝大家的幫忙，如果哪天有機會能升os，在來試試吧。

看更多先前的討論...收起先前的討論...

補覺鳴詩 iT邦高手 1 級 ‧ 2020-05-19 16:46:04 檢舉

先把 firmware 都先昇到該主版號的最後一版

yu506yu iT邦新手 2 級 ‧ 2020-05-19 16:48:46 檢舉

過保很久了，沒辦法升啊。

補覺鳴詩 iT邦高手 1 級 ‧ 2020-05-19 20:12:29 檢舉

過保就去簽 MA
forti 的東西遇過很多次都是一更新馬上藥到病除

yu506yu iT邦新手 2 級 ‧ 2020-05-19 21:46:54 檢舉

目前是沒辦法馬上簽ma升級喔，所以還是先自己試試看。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

mytiny

iT邦超人 1 級 ‧ 2020-05-19 18:04:23

給樓主幾點誠懇的建議
1.有關OS的版本，該升級就要升級
2.現在只要有一台還在保固，就可以有辦法都升級
3.請SI協助，這麼久都沒服務，是不是也該出面了

關於VPN的設定

在下覺得樓主做得太複雜，貴公司金融業嗎?
Phase1與Phase2的DH就不一樣
人會犯錯，機器不會，請仔仔細細詳加檢查

如果真的搞不定，要不請原先SI來做技術支援
要不就請另外的團隊來支援
該付費就付費，免得省小錢花大錢

回應 2
分享
檢舉

yu506yu iT邦新手 2 級 ‧ 2020-05-20 08:49:05 檢舉

有試著把phase1跟2的DH就算調成一樣，vpn還是連不上，殘念。

mytiny iT邦超人 1 級 ‧ 2020-05-20 18:38:12 檢舉

都建議樓主VPN做簡單點，(應該也分不出route mode與interface mode不同處)

phase1加密演算法用一個，3des就夠
phase2不要去設東西(雖然policy用any不好)
舊版要注意設路由

還不成，看看以下影片吧
5.0版VPN設定
 IPsec VPN Troubleshooting

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2020-05-19 21:12:08

你是否有兩條或以上的WAN呢

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

yu506yu iT邦新手 2 級 ‧ 2020-05-19 21:44:05 檢舉

都只有一條wan喔

bluegrass iT邦高手 1 級 ‧ 2020-05-21 08:52:15 檢舉

diagnose debug application ike -1

diagnose debug enable

人手BRING UP VPN 看看

一分鐘後

diagnose debug disable

yu506yu iT邦新手 2 級 ‧ 2020-05-21 11:23:53 檢舉

去找debug了，但兩台的結果卻長的完全不一樣
從第一台的5.4版的log有看到no SA proposal chosen，去查了一下大部份的結果就是說設定不一樣，但我又重設了很多次，確認設定是一樣的沒錯。
第二台的log就完全沒啥線索，裡面有一個policy deny ignoring，那個policy也不是套用在這次vpn設定的網段中，應該沒關係才對。
原本以為看見希望了，但還是沒結果。

bluegrass iT邦高手 1 級 ‧ 2020-05-21 14:01:59 檢舉

dia sniff packet any "host WAN1 and host WAN2" 4 0

登入發表回應

hsiang11

iT邦好手 1 級 ‧ 2020-05-20 02:32:02

我會比較建議升到OS5.6以後
功能上會比較成熟也減少出怪問題的機率

另外也可以試試把加密簡化先從低的加密等級和砍掉多餘的試試
台灣的公司大多會遇上不願意投資網路設備支出
IT還是要盡量想辦法推新案汰換雖然很不容易上頭就是會講不聽
但是真的做起來觀念和技術都上去之後
就是網路的另一片天了

放著爛問題也只是會越來越難處理
我看過的公司裡面有些已經到達離奇的境界
公司把IT的薪資長期壓低也不請專業的主管職進來做案子改善
結果事情越來越多之後把熟悉環境的前任IT給氣跑了連年終都不願意領
最後只是留下了一堆爛攤子一堆事沒有人知道的規劃也是很糟
廠商的報價單有些價格很難看
甚至資料量開始成長之後竟然廠商說要停機五天換硬碟搬資料才可以解決問題
以現在的技術角度這根本很惡搞
廠商已經抓了一隻肥羊了
這樣根本不會比較省出問題遲早的

回應
分享
檢舉

登入發表回應

shing_pascal

iT邦新手 2 級 ‧ 2020-05-20 11:15:52

P1 計畫的 2-加密演算法
和
Phase 1 Proposal
第二行加密不一樣

要改成一樣

基本上 5.4 那台的設定要改成和 5.0的設定一樣。
因為 5.0 的設定選項比較少。

還有 2邊的來源和目的地是相反的。
你應該也設錯了。

回應 10
分享
檢舉

看更多先前的回應...收起先前的回應...

yu506yu iT邦新手 2 級 ‧ 2020-05-20 13:26:42 檢舉

有試過把加密都改一樣，還是不行。
另外來源跟目的沒設錯哦，兩邊是相反的。

shing_pascal iT邦新手 2 級 ‧ 2020-05-20 14:16:31 檢舉

剛才看了一下筆記和你的畫面。
你的VPN其實已經建立OK。
5.0的那2個接受表示OK
5.0部份
接下來要設靜態路由及防火牆規則

shing_pascal iT邦新手 2 級 ‧ 2020-05-20 14:21:54 檢舉

如果 5.0那台是80C
你又有fortinet的帳號可以登入。
可以手動把韌體從5.0一路升級升級到5.4.6
這樣可能會簡單點。
因為我4年前也遇到和你一樣的問題。
5.0與5.2.7對接VPN

yu506yu iT邦新手 2 級 ‧ 2020-05-20 14:30:07 檢舉

兩台的防火牆就是都設兩條規則，從內部介面到vpn介面跟從vpn介面到內部介面都是全通，路由也是到遠端的網段走vpn介面。
自己也是有在想會不會真的是5.0的那台os有問題，但看到之前有別人一樣是不同os的兩台可以成功建起來，就想在看看是不是我有什麼設定沒弄到。
這星期再搞不出來我也要放棄了。

shing_pascal iT邦新手 2 級 ‧ 2020-05-20 14:36:52 檢舉

5.0的部份
4、建立靜態路由
路由設定->靜態路由->靜態路由，選建立新的圖示。
5、目的IP/網路遮罩：10.160.1.0/255.255.255.0
設備：Phase1 的名稱。
點選確定，完成設定。
你有做這部份？

yu506yu iT邦新手 2 級 ‧ 2020-05-20 14:57:11 檢舉

有哦。

shing_pascal iT邦新手 2 級 ‧ 2020-05-22 08:50:34 檢舉

這是我現在使用的設定。
當年我的 5.2.7是跑精靈設定。 fortigate Site to fortigate site。
註解那邊就有註明，你的沒有。
你是不是自己手動設定？？
我在想。是不是你的5.4.1設定有問題，而不是5.0設定有問題。
手上的FORTIGATE 都已升級到6.2了。
所以沒對照了。