iT邦幫忙

0

Fortigate IPsec VPN

鵝有一台FortiOS 5.2的FWF-60C和FortiOS 6.2的FGT-50E要建IPsec site to site VPN,之前跟另一台同樣是FortiOS 5.2的FGT-60C只要wizard填一填就ok了,可是現在FGT-60C這邊會卡在phase1時ipsec vpn peer sa proposal not match local policy,所以當然連不起來,鵝有試著把profile轉成customized去看裡面的細節,不過兩邊看起來是一樣的,不知是不是FortiOS版本差太多所致,有邦友遇過類似的狀況嗎?? 還是說非得upgrade FortiOS才有得玩(因為FWF-60C當然早就過保了,要upgrade只能當伸手牌了/images/emoticon/emoticon25.gif)....

cmwang iT邦大師 1 級 ‧ 2021-05-25 16:49:44 檢舉
另外有個問題,phase 2的local/remote address填真正的address時VPN是連得起來,但Fortigate不會走自己建好的IPsec VPN去連對面網段上的server(Fortigate後面LAN上的主機是正常的),如果照5.2版預設填0/0時就ok,有邦友可以指點一下嗎??
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
Ray
iT邦大神 1 級 ‧ 2021-05-22 10:28:05
最佳解答

這裡有人說, 不要用精靈產出來的 Template:
https://www.reddit.com/r/fortinet/comments/fpu2jb/52_to_62_ipsec_vpn/

cmwang iT邦大師 1 級 ‧ 2021-05-25 16:41:58 檢舉

謝了,我發現5.2版wizard建出來phase 2的local address/remote address預設是0/0,而6.2版一般會填真正的subnet,應該是這樣才連不上的....

1
mytiny
iT邦超人 1 級 ‧ 2021-05-22 10:53:57

建議樓主不要用wizard來做
因為兩邊的版本差異太多階(5.2->5.4->5.6->6.0->6.2)
通常wizard都是用在簡易的環境

記得要將原設定清除乾淨再重作
注意兩邊設定一定要一致(機器不會犯錯,人才會)
另外就是兩邊的路由及政策一定要檢查
提供樓主以下的debug影片,
查察看哪裡出錯
IPsec VPN Troubleshooting

我要發表回答

立即登入回答