同事設定了一個ipsec vpn , 這裡只先討論 phase 2 的設定
需求為 B端點 192.168.2.0/24 所有流量 到ipsec vpn
A端允許B 192.168.2.0/24 網段透過a上網
A 端設定 set dst-subnet 192.168.2.0 255.255.255.0
src 為0.0.0.0/0 <--不顯示在指令輸出的畫面中
B 端設定 set src-subnet 192.168.2.0 255.255.255.0
dst 為 0.0.0.0/0 <--不顯示在指令輸出的畫面中
請問以上設定是正確的嗎? 我問廠商, 他說也有其它公司這樣使用
我看目前網上的教學 , A SRC要設 當地內部網段 , B DST 設A 內部網段
B 可以勾選透過 A上網, 所以我很困惑
重點在目前的設定是不通的,所以我想知道,這樣設定是可行的嗎?
目前的log 是phase1 建立成功, 但下一秒又會 delete IPsec phase 1 SA
AI 是說 phase2 的問題
已邀請的邦友 {{ invite_list.length }}/5
關於你的困惑, 得說點歷史故事
IPSEC 典型有兩種, transport mode 跟 tunnel mode
transport mode 基本很少人用,
幾乎都是老機器/某些品牌如CHECKPOINT 還在用
transport mode的特性是沒有一個獨享的LAYER 3 INTERFACE / IP,
所以也不支持OSPF/BGP等
那麼, 沒了LAYER 3 INTERFACE,
又如何可以ROUTE到對方PEER SUBNET LAN呢?
答案就是用你PHASE 2輸入的SUBNET來決定
旦這種設計其實很87
試想想,
如果是 本地兩個LAN, 對方兩個LAN
你就有2的2次方組合
如果某品牌不支持用GROUP ADDRESS來一次過放入多個LAN
你就得人手建立4條PHASE 2 TUNNELS
說回來
FORTIGATE用的是tunnel mode,
tunnel mode特性是獨享的LAYER 3 INTERFACE / IP,
支持OSPF/BGP, 所以也需要設定路由
同時理論上你沒必要/需要來故意設定PHASE 2
大家LOCAL跟PEER都可以用0.0.0.0/0
再用FORTIGATE的路由跟POLICY來控制即可
簡單又安全, 也方便擴充.
然後呢, 你應該兩邊的VPN設定圖, 路由, POLICY 都放上來, 不然很難猜
這邊是我的認知:
IPSec以route方式的分法是分 policy-based 和 route-based
我在教IPSec VPN 時, 口訣就是 "橋歸橋, 路歸路".
tunnel就是橋,要先建橋. 兩端的認證和演算法和 phase 2 policy都要能對上, tunnel才起得來.
有了tunnel之後,route才有效,而check route的方式就是依policy-based或route-based的下route方式去看.
policy-based下route的方式,有可能會因品牌而有差異,所以debug門檻較高.
route-based比較容易理解的原因是,就把它看成是一般interface的route的觀念一樣,比較容易debug.這也就是為何現在市場較主推route-based的原因.
而 transport mode 和 tunnle mode 的區分是,
transport mode: 點對點應用. ESP封包的IP header和ESP加密內容裡的IP header一樣.所以只能做到 IP1<->IP2資料傳遞.簡單說就是VPN gateway本身對另一端VPN gateway本身.
一般可用在加密其他協議用, 例如 L2TP over IPSec, GRE over IPSec.
tunnel mode: 網路對網路應用.ESP封包的IP header的 src./dst. IP是VPN gateway對VPN gateway.ESP加密內容裡的IP header是兩端內網對內網的IP.所以才能傳遞兩端內網資料.
感謝2位的說明, 知識+1
樓主語焉不詳
尤其是"0.0.0.0/0 <--不顯示在指令輸出的畫面中"
不知是指政策還是VPN設定?
好奇的是,既然有廠商可以問
為什麼不能直接解決呢?
是因為沒簽維護嗎?
如果想在論壇解決,
把VPN設定、路由、防火牆政策及相關位置物件都得說個明白
大夥才好來診斷診斷,搞不好只是哪個路由沒設
誤會了, 不顯示在輸出畫面中是指
show vpn ipsec phase2-interface
0.0.0.0 的路由不會顯示 , 所以我手打在問題內
另外有廠商可以問, 是指公司現有的廠商, 能力不足, 無法解決這問題,
所以問題內文也只寫先討論phase2的設定
目前已用其它方式證明0.0.0.0 是可行的了, VPN Tunnel 也通了,
但又會產生一個新的問題, 這個問題, 如果沒解, 我再提問題,麻煩大家再看看
另外有廠商可以問, 是指公司現有的廠商, 能力不足, 無法解決這問題
其實看過樓主放幾次關於Fortigate的技術討論
並不是購買FG-200F找個SI出貨那麼簡單的事情
牽涉到很多網路架構與內部資安運作的相關事宜
建議現在就盡快付費找個願意在技術上配合的廠商
(搞不好現在的SI就突然有能力了)
不然論壇問來問去常常會鬼打牆也不能解決
然後等到要改簽維護的時候
不是經費太高不能通過老闆那一關
要不然就是臨時也找不到了解貴公司架構又好配合技術的廠商
事情按現況如果一直像這樣好好壞壞拖著
不是最後都要靠樓主自己解決技術困境
要不然就是樓主離職後公司跳腳花大錢重作
也許樓主還有其他難處
就看要怎麼想辦法了
iThome鐵人賽
看影片追技術
看更多