iT邦幫忙

1

請問FORTI IPSEC VPN 連線LOG請教

  • 分享至 

  • xImage

我有先設定好,FORTI CLINT VPN SERVER端
也有去設定 local-in-policy
固定IP XXX.XXX.XXX.XX6 可以連VPN ,且只允許國內的IP可以連
固定IP XXX.XXX.XXX.XX7 不可連VPN

config firewall local-in-policy

  
  edit 100
    set intf     "port1"
    set srcaddr  "G_VPN_ALLOW_IP"
    set dstaddr  "VPN_IP_6"
    set service  "IKE"
    set action   accept
    set schedule "always"
    set status   enable
  next

  
  edit 110
    set intf       "port1"
    set srcaddr    "all"
    set dstaddr    "VPN_IP_7_Block"
    set service    "IKE"
    set action     deny
    set schedule   "always"    
    set status     enable
  next

end

但是系統事件
1.Progress IPsec phase 1 :
A.仍可以看到United States 等其他國家連進來 ,雖然被negotiate
B.依樣會連到XXX.XXX.XXX.XX7 ,但這我應該已經DENY了

2.IPsec ESP 錯誤
但她一樣會有 XXX.XXX.XXX.XX7 為目標IP
且為何 前面 IPsec phase 1 沒過,為何還會到 這一階段

請問,這還有哪些地方可以解決,已經有問 copilot 等了,但結果仍一樣

謝謝

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
marcushsu
iT邦新手 5 級 ‧ 2025-08-13 09:47:04
  1. 首先,IPsec 牽涉到的服務不只是 IKE,還有 IPSec-ESP 及 UDP-4500。

  2. 所以在 110 雖然拒絕了服務 IKE,但是沒拒絕 IPSec-ESP 及 UDP-4500 (NAT-T), 後者也可以建立 Phase 1。

noway iT邦研究生 1 級 ‧ 2025-08-14 08:40:46 檢舉

所以 我還是要建
拒絕
IPSec-ESP
UDP-4500 (NAT-T)
嗎?

edit 111
set intf "port1"
set srcaddr "all"
set dstaddr "VPN_IP_7_Block"
set service "IPSec-ESP"
set action deny
set schedule "always"
set status enable
next

0
mytiny
iT邦超人 1 級 ‧ 2025-08-13 10:20:09

想要debug,會看log是很必要的事
如果設了阻擋的政策
但結果還是有紀錄,那紀錄呢?

除了IPsecVPN不只有IKE通訊
在Local-in-Policy的設定規則與防火牆政策也不同
防火牆是全不通再設通過,Local-in-Policy則是相反

問AI有關專業的細節,常常有錯
特別是有關Fortigate的設定常會出現不存在的指令
還不如好好請教供貨的廠商技術人員

看更多先前的回應...收起先前的回應...
noway iT邦研究生 1 級 ‧ 2025-08-14 08:52:23 檢舉

您好:
LOG方面,一樣是 IPsec phase 1 error

採取行動 	negotiate
狀態 	negotiate_error
理由 	peer SA proposal not match local policy

已發配IP 	N/A
Cookie 	3e35c70729dfedef/0000000000000000
本地埠號 	500
輸出介面 	port1
IPsec遠端IP 	65.49.1.65
遠程埠號 	53733
VPN 通道 	N/A
訊息 	IPsec phase 1 error

Progress IPsec phase 1

採取行動 	negotiate
狀態 	failure
結果 	ERROR

已發配IP 	N/A
Cookie 	3e35c70729dfedef/0000000000000000
方向 	inbound
本地埠號 	500
輸出介面 	port1
IPsec遠端IP 	65.49.1.65
遠程埠號 	53733
角色 	responder
階段 	1
VPN 通道 	N/A
模式 	main
訊息 	progress IPsec phase 1

IPsec ESP

已發配IP 	N/A
Cookie 	N/A
本地埠號 	500
輸出介面 	port1
IPsec遠端IP 	162.142.125.80
遠程埠號 	4500
VPN 通道 	N/A
訊息 	IPsec ESP

日誌事件來源時間戳記 	1755128108564753200
時區 	+0800
記錄 ID 	0101037131
類型 	event
子型式 	vpn
備用使用者 	N/A
錯誤號 	Received ESP packet with unknown SPI.

ADVPN 捷徑 	0

在Local-in-Policy的設定規則與防火牆政策也不同
防火牆是全不通再設通過,Local-in-Policy則是相反
==>目前Local-in-Policy我設定的是 通 /再不通
還是這有什麼錯誤?

有問過,之前給範例

config firewall local-in-policy
    edit 0  
        set intf "wan2"  
        set srcaddr "China"  
        set action "deny"  
        set schedule "always" 
        set service "ALL"  
    next
end

還是 他這邊來源是一個一個設定
另外, service "ALL" 若沒設,他預設應該也是 ALL 吧

謝謝

mytiny iT邦超人 1 級 ‧ 2025-08-14 10:11:23 檢舉

把deny的範圍作成全擋
edit 110
set intf "port1"
set srcaddr "all"
set dstaddr "all"
set service "ANY"
set action deny
set schedule "always"
set status enable
next

另外Local-in-Policy只能針對介面
所以VPN_IP_7_Block如果不在介面上
應該會無效

因在論壇不了解環境現況
還有很多可以發現攻擊行為模式的方法
建議應付費找協力SI來解決

noway iT邦研究生 1 級 ‧ 2025-08-15 08:53:22 檢舉

您好:
謝謝您!
所以這是要修改如下

--------------------------------->改為 110 全檔

config firewall local-in-policy

edit 100
set intf "port1"
set srcaddr "G_VPN_ALLOW_IP"
set dstaddr "VPN_IP_6"
set service "IKE"
set action accept
set schedule "always"
set status enable
next

edit 110
set intf "port1"
set srcaddr "all"
set dstaddr "all"
set service "ANY"
set action deny
set schedule "always"
set status enable
next

end


目前port1 綁固定IP XXX.XXX.XXX.X69

而 XXX.XXX.XXX.X71 有綁一條對外給特定IP連結使用

noway iT邦研究生 1 級 ‧ 2025-08-18 11:15:10 檢舉

您好:
set service "ANY" 不能用
set service "ALL" 才能
但這樣處理後,原來的SSL VPN 及 IPSeC 都連不上

mytiny iT邦超人 1 級 ‧ 2025-08-22 01:08:21 檢舉

原來樓主是把forticlientVPN跟著一起用在SSLVPN撥接!!!
建議不要這樣用,很難處理攻擊來源
應付費找協力SI來解決(或私訊)

noway iT邦研究生 1 級 ‧ 2025-08-22 09:03:34 檢舉

目前等著要把 SSLVPN 停掉了
使用者還沒切過來
這樣會有影響嗎?

0
bluegrass
iT邦高手 1 級 ‧ 2025-08-13 16:11:10

"VPN_IP_6" 跟 "VPN_IP_7_Block" 的OBJECT 設定, 圖發一下

看更多先前的回應...收起先前的回應...
noway iT邦研究生 1 級 ‧ 2025-08-14 08:58:07 檢舉

您好:
資料如下,再麻煩您查看,謝謝

https://ithelp.ithome.com.tw/upload/images/20250814/20104095iuF8gSmwmI.png

bluegrass iT邦高手 1 級 ‧ 2025-08-18 09:04:24 檢舉

https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/201046/blocking-unwanted-ike-negotiations-and-esp-packets-with-a-local-in-policy

官方有KB去操作, 用的是一條exclude 在LOCAL IN就搞定了

Configure an address group that excludes legitimate IPs:

config firewall addrgrp
edit "All_exceptions"
set member "all"
set exclude enable
set exclude-member "remote-vpn"
next
end

Create a local-in policy that blocks IKE traffic from the address group:

config firewall local-in-policy
edit 1
set intf "wan1"
set srcaddr "All_exceptions"
set dstaddr "all"
set service "IKE"
set schedule "always"
next
end

noway iT邦研究生 1 級 ‧ 2025-08-18 13:04:19 檢舉

請問 這「IKE」,
應該建立IPSEC 時產生的?

https://ithelp.ithome.com.tw/upload/images/20250818/20104095CMfoCkUGLr.png

noway iT邦研究生 1 級 ‧ 2025-08-18 13:10:51 檢舉

remote-vpn 這一個似乎要手動建立來排除
系統沒有內建這一個?

bluegrass iT邦高手 1 級 ‧ 2025-08-21 09:08:00 檢舉

是要手動建立來排除的.

noway iT邦研究生 1 級 ‧ 2025-08-22 09:05:10 檢舉

但那麼多地方要排除, 只有台灣地區可以連
那您建議,該如何做,會比較好?
謝謝

bluegrass iT邦高手 1 級 ‧ 2025-08-25 10:22:42 檢舉

config firewall local-in-policy

edit 100
set intf "port1"
set srcaddr "G_VPN_ALLOW_IP"
set dstaddr "all"
set service "any"
set action accept
set schedule "always"
set status enable
next

edit 110
set intf "port1"
set srcaddr "all"
set dstaddr "all"
set service "ANY"
set action deny
set schedule "always"
set status enable
next

end

noway iT邦研究生 1 級 ‧ 2025-08-26 10:46:30 檢舉

您好:
edit 110
set intf "port1"
set srcaddr "all"
set dstaddr "all"
set service "ANY"
set action deny
set schedule "always"
set status enable
next

set service "ANY" 不能用ANY, 我試過用ALL 才能過

但這樣連線,就會 出現timeout 一直卡在那邊,軟體已要ctrl+alt+del 來山才可以砍掉。
謝謝

bluegrass iT邦高手 1 級 ‧ 2025-08-27 14:53:46 檢舉

你有檢查過自己連線去FORTI那個WAN IP確定是TAIWAI?

https://www.fortiguard.com/services/ipge

noway iT邦研究生 1 級 ‧ 2025-09-02 17:15:11 檢舉

是的
謝謝

bluegrass iT邦高手 1 級 ‧ 2025-09-02 18:11:49 檢舉

試試用另一個方法

LOCAL IN POLICY都刪了, 別用

你在FORTIGATE上建立一個LOOPBACK口

改用LOOPBACK口去給USER來接VPN

搞個VIRTUAL IP,
把本來WAN的PORT 500 4500由WAN PORT ForWard到loopback

然後你用firewall policy去鎖Source IP, 試試可行不

我要發表回答

立即登入回答