Ich versuche mit OpenSwan eine IPsec-Verbindung zu einem FortiGate-Router herzustellen. Das FortiGate befindet sich in zwei unterschiedlichen Subnetzen und ich muss auf beide zugreifen. Im FortiGate habe ich eine Phase 1-Verbindung und eine Phase 2-Verbindung definiert. Dadurch kann ich erfolgreich eine Verbindung zu einem der Subnetze herstellen.
Ich muss gleichzeitig auf beide Subnetze zugreifen können. Die empfangene Weisheit scheint darin zu bestehen, zwei separate Verbindungen (eine pro Subnetz) in OpenSwan zu erstellen, und beim Herstellen einer zusätzlichen Verbindung wird automatisch versucht, einen vorhandenen Phase-1-Tunnel wiederzuverwenden (beim Erstellen eines neuen Phase-2-Tunnels für die zusätzliche Verbindung).
Wenn ich beide Verbindungen aufrufe, scheint OpenSwan laut den Protokollen in einer kontinuierlichen Schleife zu stecken, in der versucht wird, jede Verbindung nacheinander neu auszuhandeln (ich kann immer nur ein Subnetz anpingen). Ich vermute, das liegt daran, dass das FortiGate die bestehende Verbindung abbricht, wenn versucht wird, eine neue Verbindung herzustellen.
Ich habe folgende Fragen:
Wie sollte ich das FortiGate so konfigurieren, dass zwei gleichzeitige Verbindungen vom selben IPSec-Initiator zugelassen werden (eine Verbindung pro Subnetz)? Ist das überhaupt möglich? (Die Dokumentation scheint diesbezüglich etwas vage zu sein.)
Muss ich eine Phase-2-Verbindung im FortiGate speziell einem bestimmten Subnetz zuordnen, und wenn ja, wie gehe ich vor?
Gibt es Probleme beim Herstellen mehrerer IPSec-VPN-Verbindungen zwischen denselben Endpunkten?
Ich kann Ihnen auf der OpenSwan-Seite nicht helfen, aber ich musste kürzlich auch ein Cyberoam mit einem Fortigate mit mehreren Subnetzen verbinden. Für jedes Subnetz können Sie eine weitere Phase 2 erstellen (die an dasselbe Phase 1-Objekt gebunden ist):
Hier ist ein Beispiel für ein solches Phase-2-Objekt:
Geben Sie im Schnellmodus-Auswahlbereich die lokale Adresse und das Subnetz an. Dies unterscheidet sich von den anderen Phase-2-Objekten. In meinem Fall habe ich Adressobjekte (im Firewall-Menü) zur Wiederverwendung erstellt.
Auf unserem Fortigate verwenden wir für jedes Subnetz einen anderen physischen Port. Daher haben wir für jedes Subnetz eine VPN-Richtlinie erstellt:
Ich denke, das hilft dir auf der glücklichen Seite der Dinge.
PS: Ich habe die meisten Dinge auf dem Screenshot umbenannt. Es ist besser, aussagekräftigere Namen zu vergeben.
quelle