FortiGate IPsec VPN: Konfigurieren mehrerer Phase-2-Verbindungen (mehrere Subnetze)

3

Ich versuche mit OpenSwan eine IPsec-Verbindung zu einem FortiGate-Router herzustellen. Das FortiGate befindet sich in zwei unterschiedlichen Subnetzen und ich muss auf beide zugreifen. Im FortiGate habe ich eine Phase 1-Verbindung und eine Phase 2-Verbindung definiert. Dadurch kann ich erfolgreich eine Verbindung zu einem der Subnetze herstellen.

Ich muss gleichzeitig auf beide Subnetze zugreifen können. Die empfangene Weisheit scheint darin zu bestehen, zwei separate Verbindungen (eine pro Subnetz) in OpenSwan zu erstellen, und beim Herstellen einer zusätzlichen Verbindung wird automatisch versucht, einen vorhandenen Phase-1-Tunnel wiederzuverwenden (beim Erstellen eines neuen Phase-2-Tunnels für die zusätzliche Verbindung).

Wenn ich beide Verbindungen aufrufe, scheint OpenSwan laut den Protokollen in einer kontinuierlichen Schleife zu stecken, in der versucht wird, jede Verbindung nacheinander neu auszuhandeln (ich kann immer nur ein Subnetz anpingen). Ich vermute, das liegt daran, dass das FortiGate die bestehende Verbindung abbricht, wenn versucht wird, eine neue Verbindung herzustellen.

Ich habe folgende Fragen:

  • Wie sollte ich das FortiGate so konfigurieren, dass zwei gleichzeitige Verbindungen vom selben IPSec-Initiator zugelassen werden (eine Verbindung pro Subnetz)? Ist das überhaupt möglich? (Die Dokumentation scheint diesbezüglich etwas vage zu sein.)

  • Muss ich eine Phase-2-Verbindung im FortiGate speziell einem bestimmten Subnetz zuordnen, und wenn ja, wie gehe ich vor?

  • Gibt es Probleme beim Herstellen mehrerer IPSec-VPN-Verbindungen zwischen denselben Endpunkten?

FixMaker
quelle

Antworten:

4

1 & 2) Sie haben Recht, dass Sie phase 2in einigen Fällen zwei s benötigen . Wenn Sie sich beispielsweise mit zusätzlicher Sicherheit befassen (z. B. im Verlauf der Firewall-Richtlinien), müssen Sie zwei Subnetze auf zwei phase 2s aufteilen. Es sei denn, Sie haben diese Komplexität nicht und können eine quick mode selectorsausreichende Breite erstellen , um die beiden Subnetze innerhalb desselben zu erfassen phase 2.

3) Mehrere phase 1s? Ja. Es wird fallen, wie Sie es beschreiben. Mehrere phase 2s mit dem gleichen phase 1? Es wird nicht fallen.

Ich kenne openswan nicht, aber das FortiOS unterstützt zumindest die IPsecSpezifikationen. Am besten debuggen Sie auf beiden Seiten und sehen genau, was los ist.

mbrownnyc
quelle
1 Phase 1, 3 Phase 2 löste mein Problem. Danke für diese Info.
Terry
@ Terry, hast du das auf einem FortiGate gemacht?
FixMaker
@Lorax: In der Tat, stellte eine Phase 1-Verbindung zu unserer Adresse (Cyberoam-Firewall) her und verband dann 3 Phase 2-Objekte mit demselben Phase 1-Objekt. Vergessen Sie auch nicht, für jede Phase 2, die Sie erstellen, eine VPN-Richtlinie hinzuzufügen.
Terry
3

Ich kann Ihnen auf der OpenSwan-Seite nicht helfen, aber ich musste kürzlich auch ein Cyberoam mit einem Fortigate mit mehreren Subnetzen verbinden. Für jedes Subnetz können Sie eine weitere Phase 2 erstellen (die an dasselbe Phase 1-Objekt gebunden ist):

Bildbeschreibung hier eingeben

Hier ist ein Beispiel für ein solches Phase-2-Objekt:

Bildbeschreibung hier eingeben

Geben Sie im Schnellmodus-Auswahlbereich die lokale Adresse und das Subnetz an. Dies unterscheidet sich von den anderen Phase-2-Objekten. In meinem Fall habe ich Adressobjekte (im Firewall-Menü) zur Wiederverwendung erstellt.

Auf unserem Fortigate verwenden wir für jedes Subnetz einen anderen physischen Port. Daher haben wir für jedes Subnetz eine VPN-Richtlinie erstellt:

Bildbeschreibung hier eingeben

Ich denke, das hilft dir auf der glücklichen Seite der Dinge.

PS: Ich habe die meisten Dinge auf dem Screenshot umbenannt. Es ist besser, aussagekräftigere Namen zu vergeben.

Terry
quelle