iT邦幫忙

0

Fortigate v5.0與v5.4.1 site to site VPN建不起來

目前要把兩個廠的防火牆做site to site vpn,可是一直建不起來,不知是哪裡有問題
版本分別是v5.0,build3608與 v5.4.1,build1064,設定比對了一下都一樣,但就是建不起來,在5.4那台一直有Progress IPsec phase 1 negotiate success的訊息,在5.0那台上什麼訊息都沒有,一直不知該怎麼做,請各位高手指點一下吧。
https://ithelp.ithome.com.tw/upload/images/20200519/20023921PUTleIo62I.jpg
https://ithelp.ithome.com.tw/upload/images/20200519/20023921EYe42Pc5mL.jpg
https://ithelp.ithome.com.tw/upload/images/20200519/20023921izvccELHPh.jpg
https://ithelp.ithome.com.tw/upload/images/20200519/20023921oD2cpaUd08.jpg
https://ithelp.ithome.com.tw/upload/images/20200519/20023921y4QwEYTm2v.jpg
https://ithelp.ithome.com.tw/upload/images/20200519/20023921FoI1fGROCO.jpg

https://kb.fortinet.com/kb/documentLink.do?externalID=FD30023
有查到forti的文件,是5.0跟5.2對連,寫的很簡單,但做出來一樣還是不行啊。

目前還是無解,只好放棄這個作業,感謝大家的幫忙,如果哪天有機會能升os,在來試試吧。

看更多先前的討論...收起先前的討論...
補覺鳴詩 iT邦研究生 4 級 ‧ 2020-05-19 16:46:04 檢舉
先把 firmware 都先昇到該主版號的最後一版
yu506yu iT邦新手 2 級 ‧ 2020-05-19 16:48:46 檢舉
過保很久了,沒辦法升啊。
補覺鳴詩 iT邦研究生 4 級 ‧ 2020-05-19 20:12:29 檢舉
過保就去簽 MA
forti 的東西遇過很多次都是一更新馬上藥到病除
yu506yu iT邦新手 2 級 ‧ 2020-05-19 21:46:54 檢舉
目前是沒辦法馬上簽ma升級喔,所以還是先自己試試看。
2
mytiny
iT邦大師 1 級 ‧ 2020-05-19 18:04:23

給樓主幾點誠懇的建議
1.有關OS的版本,該升級就要升級
2.現在只要有一台還在保固,就可以有辦法都升級
3.請SI協助,這麼久都沒服務,是不是也該出面了

關於VPN的設定

  1. 在下覺得樓主做得太複雜,貴公司金融業嗎?
  2. Phase1與Phase2的DH就不一樣
  3. 人會犯錯,機器不會,請仔仔細細詳加檢查

如果真的搞不定,要不請原先SI來做技術支援
要不就請另外的團隊來支援
該付費就付費,免得省小錢花大錢

yu506yu iT邦新手 2 級 ‧ 2020-05-20 08:49:05 檢舉

有試著把phase1跟2的DH就算調成一樣,vpn還是連不上,殘念。

mytiny iT邦大師 1 級 ‧ 2020-05-20 18:38:12 檢舉

都建議樓主VPN做簡單點,(應該也分不出route mode與interface mode不同處)

  1. phase1加密演算法用一個,3des就夠
  2. phase2不要去設東西(雖然policy用any不好)
  3. 舊版要注意設路由

還不成,看看以下影片吧
5.0版VPN設定
IPsec VPN Troubleshooting

1
bluegrass
iT邦高手 1 級 ‧ 2020-05-19 21:12:08

你是否有兩條或以上的WAN呢

看更多先前的回應...收起先前的回應...
yu506yu iT邦新手 2 級 ‧ 2020-05-19 21:44:05 檢舉

都只有一條wan喔

bluegrass iT邦高手 1 級 ‧ 2020-05-21 08:52:15 檢舉

diagnose debug application ike -1

diagnose debug enable

人手BRING UP VPN 看看

一分鐘後

diagnose debug disable

yu506yu iT邦新手 2 級 ‧ 2020-05-21 11:23:53 檢舉

去找debug了,但兩台的結果卻長的完全不一樣
從第一台的5.4版的log有看到no SA proposal chosen,去查了一下大部份的結果就是說設定不一樣,但我又重設了很多次,確認設定是一樣的沒錯。
第二台的log就完全沒啥線索,裡面有一個policy deny ignoring,那個policy也不是套用在這次vpn設定的網段中,應該沒關係才對。
原本以為看見希望了,但還是沒結果。
https://ithelp.ithome.com.tw/upload/images/20200521/20023921ffuLFlSGLR.jpg
https://ithelp.ithome.com.tw/upload/images/20200521/20023921NjYFPxPawv.jpg

bluegrass iT邦高手 1 級 ‧ 2020-05-21 14:01:59 檢舉

dia sniff packet any "host WAN1 and host WAN2" 4 0

0
hsiang11
iT邦研究生 1 級 ‧ 2020-05-20 02:32:02

我會比較建議升到OS5.6以後
功能上會比較成熟 也減少出怪問題的機率

另外也可以試試把加密簡化 先從低的加密等級和砍掉多餘的試試
台灣的公司大多會遇上不願意投資網路設備支出
IT還是要盡量想辦法推新案汰換 雖然很不容易 上頭就是會講不聽
但是真的做起來 觀念和技術都上去之後
就是網路的另一片天了

放著爛問題也只是會越來越難處理
我看過的公司裡面有些已經到達離奇的境界
公司把IT的薪資長期壓低 也不請專業的主管職進來做案子改善
結果事情越來越多之後 把熟悉環境的前任IT給氣跑了 連年終都不願意領
最後只是留下了一堆爛攤子 一堆事沒有人知道的 規劃也是很糟
廠商的報價單 有些價格很難看
甚至資料量開始成長之後 竟然廠商說要停機五天換硬碟搬資料才可以解決問題
以現在的技術角度這根本很惡搞
廠商已經抓了一隻肥羊了
這樣根本不會比較省 出問題遲早的

0
shing_pascal
iT邦新手 5 級 ‧ 2020-05-20 11:15:52

P1 計畫 的 2-加密演算法

Phase 1 Proposal
第二行 加密 不一樣

要改成一樣

基本上 5.4 那台的設定要改成 和 5.0的設定一樣。
因為 5.0 的 設定選項比較少。

還有 2邊 的來源 和 目的地 是相反的。
你應該也設錯了。

看更多先前的回應...收起先前的回應...
yu506yu iT邦新手 2 級 ‧ 2020-05-20 13:26:42 檢舉

有試過把加密都改一樣,還是不行。
另外來源跟目的沒設錯哦,兩邊是相反的。

剛才看了一下筆記和你的畫面。
你的VPN其實已經建立OK。
5.0的那2個接受表示OK
5.0部份
接下來要設靜態路由及防火牆規則

如果 5.0那台是80C
你又有fortinet的帳號可以登入。
可以手動把韌體從5.0一路升級升級到5.4.6
這樣可能會簡單點。
因為我4年前也遇到和你一樣的問題。
5.0與5.2.7對接VPN

yu506yu iT邦新手 2 級 ‧ 2020-05-20 14:30:07 檢舉

兩台的防火牆就是都設兩條規則,從內部介面到vpn介面跟從vpn介面到內部介面都是全通,路由也是到遠端的網段走vpn介面。
自己也是有在想會不會真的是5.0的那台os有問題,但看到之前有別人一樣是不同os的兩台可以成功建起來,就想在看看是不是我有什麼設定沒弄到。
這星期再搞不出來我也要放棄了。

5.0的部份
4、建立靜態路由
路由設定->靜態路由->靜態路由,選 建立新的 圖示。
5、目的IP/網路遮罩:10.160.1.0/255.255.255.0
設備:Phase1 的名稱。
點選確定,完成設定。
你有做這部份?

yu506yu iT邦新手 2 級 ‧ 2020-05-20 14:57:11 檢舉

https://ithelp.ithome.com.tw/upload/images/20200520/20023921lUvqgN3221.jpg
有哦。

https://ithelp.ithome.com.tw/upload/images/20200522/20102366zCBJTFSj1f.jpg
這是我現在使用的設定。
當年我的 5.2.7是跑 精靈設定。 fortigate Site to fortigate site。
註解那邊就有註明,你的沒有。
你是不是自己手動設定??
我在想。是不是你的5.4.1設定有問題,而不是5.0設定有問題。
手上的FORTIGATE 都已升級到6.2了。
所以沒對照了。

yu506yu iT邦新手 2 級 ‧ 2020-05-22 14:15:18 檢舉

5.0的沒有site to site vpn範本可以選,5.2以上的就有,所以5.0一定要手動設定,然後5.4就一樣用手動設定,設成跟5.0的一樣。

以下是我四年前做的筆記,是可執行的。
用了四年都正常
92D的第1、2點中間少了一個步驟,就是利用IPSEC精靈建立site to site,然後才是第二點的修改內容 https://ithelp.ithome.com.tw/upload/images/20200522/20102366WxfhEyNYpW.jpg

yu506yu iT邦新手 2 級 ‧ 2020-05-25 09:03:50 檢舉

感謝分享,我在其他文章也有看到設定成功,但不知為啥我自己試就是不行,原本有想把5.0那台重開在試試,但因某些原因無法重開,只能先暫停這個計劃了。

我要發表回答

立即登入回答