Azure 站点到站点 VPN 和 Fortigate IPSec 第 2 阶段在 SA 重新建立时出现错误 - “对等 SA 提议与本地策略不匹配”

Azure 站点到站点 VPN 和 Fortigate IPSec 第 2 阶段在 SA 重新建立时出现错误 - “对等 SA 提议与本地策略不匹配”

我正在记录此事以供后人参考。在 Azure VPN 网关和运行 FortiOS v6.4.4 build1803 (GA) 的 Fortigate 200 E 防火墙之间成功建立并运行 IPSEC 隧道一段时间后,隧道断开,一段时间内(在我的情况下大约一个小时)没有重新建立,然后又恢复,好像什么都没发生一样。

在此处输入图片描述 Fortigate 日志文件包含以下有用的条目,其中错误“对等 SA 提议与本地策略不匹配”具有指示性:

date=2021-01-03 time=04:22:03 eventtime=1609618924346452242 tz="+0800" logid="0101037129" type="event" subtype="vpn" level="notice" vd="root" logdesc="Progress IPsec phase 2" msg="progress IPsec phase 2" action="negotiate" remip=1.2.3.4 locip=5.6.7.8 remport=500 locport=500 outintf="wan1" cookies="xxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxx" user="N/A" group="N/A" useralt="N/A" xauthuser="N/A" xauthgroup="N/A" assignip=N/A vpntunnel="AZURE-XYZ" status="success" init="remote" exch="CREATE_CHILD" dir="outbound" role="responder" result="DONE" version="IKEv2"
date=2021-01-03 time=04:22:03 eventtime=1609618924346420462 tz="+0800" logid="0101037125" type="event" subtype="vpn" level="error" vd="root" logdesc="IPsec phase 2 error" msg="IPsec phase 2 error" action="negotiate" remip=1.2.3.4 locip=5.6.7.8 remport=500 locport=500 outintf="wan1" cookies="xxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxx" user="N/A" group="N/A" useralt="N/A" xauthuser="N/A" xauthgroup="N/A" assignip=N/A vpntunnel="AZURE-XYZ" status="negotiate_error" reason="peer SA proposal not match local policy"
date=2021-01-03 time=04:22:03 eventtime=1609618924346376500 tz="+0800" logid="0101037120" type="event" subtype="vpn" level="notice" vd="root" logdesc="Negotiate IPsec phase 1" msg="negotiate IPsec phase 1" action="negotiate" remip=1.2.3.4 locip=5.6.7.8 remport=500 locport=500 outintf="wan1" cookies="xxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxx" user="N/A" group="N/A" useralt="N/A" xauthuser="N/A" xauthgroup="N/A" assignip=N/A vpntunnel="AZURE-XYZ" status="success" result="N/A" peer_notif="N/A"

Azure VPN 网关不包含有用的诊断信息。

答案1

解决方案是使用 Azure VPN 网关安装自定义 IPSec 策略,如本文所述Azure 故障排除文档。确保选择兼容的策略选项(我在所有地方都选择了 AES256/SHA256)并禁用 PFS。此处描述了操作方法。当您按照指南操作时,默认情况下不会安装 IPSec 策略 - 这是违反直觉的,因为网关当然有一个策略,但它是默认策略,因此是隐藏的。只需按照指南操作即可。

如果您觉得这可以让您免于一些头疼,请点赞或评论。

相关内容