我正在尝试使用 OpenSwan 与 FortiGate 路由器建立 IPsec 连接。FortiGate 位于两个不同的子网中,我需要访问这两个子网。在 FortiGate 中,我定义了一个第 1 阶段连接和一个第 2 阶段连接。这使我能够成功连接到一子网。
我需要能够同时访问两个子网。公认的做法似乎是在 OpenSwan 中创建两个单独的连接(每个子网一个),当建立其他连接时,它将自动尝试重用现有的第 1 阶段隧道(当为其他连接创建新的第 2 阶段隧道时)。
当我启动两个连接时,根据日志,OpenSwan 似乎陷入了尝试依次重新协商每个连接的连续循环中(我一次只能 ping 一个子网)。我猜这是因为 FortiGate 在尝试建立新连接时会断开现有连接。
我有以下问题:
我应该如何配置 FortiGate 以允许来自同一 IPsec 启动器的两个并发连接(每个子网一个连接)?这可能吗?(文档对此似乎有点模糊。)
我是否需要将 FortiGate 中的第 2 阶段连接专门关联到特定子网?如果需要,我该如何操作?
在同一端点之间建立多个 IPsec VPN 连接时是否存在任何问题/陷阱?
答案1
1 & 2) 在某些情况下,您说得对,需要两个phase 2s。例如,在处理额外的安全性时(例如,在流程中先处理防火墙策略),phase 2需要将两个子网拆分为两个 s。除非您没有这种复杂性,并且可以创建quick mode selectors足够宽的 s 来包含同一个 s 内的两个子网phase 2。
3) 多个phase 1s?是的。它会像您描述的那样掉落。多个phase 2相同的 s phase 1?它不会掉落。
我不知道 openswan,但 FortiOS 至少支持这些IPsec规格。最好的办法是在两端进行调试,看看到底发生了什么。
答案2
我无法在 OpenSwan 方面为您提供帮助,但最近我必须将 Cyberoam 连接到具有多个子网的 Fortigate。对于每个子网,您可以创建另一个阶段 2(绑定到相同的阶段 1 对象):
以下是第 2 阶段对象的一个示例:
在快速模式选择器部分,指定本地地址和子网,这就是与其他第 2 阶段对象不同的地方。就我而言,我创建了地址对象(在防火墙菜单下)以实现可重复使用性。
在我们的 fortigate 上,我们为每个子网使用不同的物理端口,因此我们为每个子网创建了一个 VPN 策略:
我希望这能对你在事情的强化方面有所帮助。
PS:我把截图上的大部分内容都重新命名了,最好能给出更有意义的名字。
答案3
我在 Cisco ASA 和 FortiGate 防火墙之间遇到了同样的问题。上面的答案是正确的。您需要多个 phase2 选择器,否则 FortiGate 防火墙将尝试对多个子网使用相同的 SA,而不是创建新的 SA。这会导致一次只有一个子网在工作。但只需要一个 phase1。