Fortigate IPsec VPN - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

Fortigate IPsec VPN

fortios ipsec vpn

cmwang 2021-05-22 07:47:59 ‧ 4721 瀏覽

分享至

鵝有一台FortiOS 5.2的FWF-60C和FortiOS 6.2的FGT-50E要建IPsec site to site VPN,之前跟另一台同樣是FortiOS 5.2的FGT-60C只要wizard填一填就ok了,可是現在FGT-60C這邊會卡在phase1時ipsec vpn peer sa proposal not match local policy,所以當然連不起來,鵝有試著把profile轉成customized去看裡面的細節,不過兩邊看起來是一樣的,不知是不是FortiOS版本差太多所致,有邦友遇過類似的狀況嗎?? 還是說非得upgrade FortiOS才有得玩(因為FWF-60C當然早就過保了,要upgrade只能當伸手牌了)....

cmwang iT邦大師 1 級 ‧ 2021-05-25 16:49:44 檢舉

另外有個問題,phase 2的local/remote address填真正的address時VPN是連得起來,但Fortigate不會走自己建好的IPsec VPN去連對面網段上的server(Fortigate後面LAN上的主機是正常的),如果照5.2版預設填0/0時就ok,有邦友可以指點一下嗎??

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

2 個回答

0

Ray

iT邦大神 1 級 ‧ 2021-05-22 10:28:05

最佳解答

這裡有人說, 不要用精靈產出來的 Template:
https://www.reddit.com/r/fortinet/comments/fpu2jb/52_to_62_ipsec_vpn/

回應 1
分享
檢舉

cmwang iT邦大師 1 級 ‧ 2021-05-25 16:41:58 檢舉

謝了,我發現5.2版wizard建出來phase 2的local address/remote address預設是0/0,而6.2版一般會填真正的subnet,應該是這樣才連不上的....

登入發表回應

1

mytiny

iT邦超人 1 級 ‧ 2021-05-22 10:53:57

建議樓主不要用wizard來做
因為兩邊的版本差異太多階(5.2->5.4->5.6->6.0->6.2)
通常wizard都是用在簡易的環境

記得要將原設定清除乾淨再重作
注意兩邊設定一定要一致(機器不會犯錯，人才會)
另外就是兩邊的路由及政策一定要檢查
提供樓主以下的debug影片，
查察看哪裡出錯
IPsec VPN Troubleshooting

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22182 篇

完賽人數

597 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙