これが設定です:
FortiGate VPNが設定されているビジネスネットワーク上にFortiGateユニットがあります。 FortiClientを実行できるリモートネットワーク上のマシン(WindowsおよびMacマシン)は、このVPNへの接続に問題はありません。私はLinuxマシンをVPNに接続することを任されていますが、これはFortigateではサポートされていません。
その方法を理解するために、リモートネットワークにUbuntu 16.04マシンをセットアップし、OpenSwanを実行してFortiGateに設定した特定のトンネルに接続しようとしています。
ただし、これまでに接続できる最も近いのは次のとおりです。
002 "icms" #1: initiating Aggressive Mode #1, connection "icms"
113 "icms" #1: STATE_AGGR_I1: initiate
003 "icms" #1: received Vendor ID payload [RFC 3947] method set to=115
003 "icms" #1: received Vendor ID payload [Dead Peer Detection]
003 "icms" #1: received Vendor ID payload [XAUTH]
003 "icms" #1: ignoring unknown Vendor ID payload [8299031757a36082c6a621de0005024d]
002 "icms" #1: Aggressive mode peer ID is ID_IPV4_ADDR: 'a.b.c.d'
003 "icms" #1: no suitable connection for peer 'a.b.c.d'
003 "icms" #1: initial Aggressive Mode packet claiming to be from a.b.c.d on a.b.c.d but no connection has been authorized
218 "icms" #1: STATE_AGGR_I1: INVALID_ID_INFORMATION
002 "icms" #1: sending notification INVALID_ID_INFORMATION to a.b.c.d:500
ここで、「icms」は接続の名前であり、「a.b.c.d」はFortiGateのパブリックIPを表します。
私の/etc/ipsec.d/icms.conf設定:
conn icms
type=tunnel
authby=secret
pfs=no
ike=aes128-sha1;modp1536
phase2alg=aes128-sha1
aggrmode=yes
keylife=28800s
ikelifetime=1800s
right=a.b.c.d
rightnexthop=%defaultroute
rightsubnet=172.16.1.0/16
left=e.f.g.h
leftnexthop=%defaultroute
auto=add
'e.f.g.h'はUbuntuマシンのIPです。
私の/etc/ipsec.d/icms.secrets:
a.b.c.d : PSK "presharedsecret"
何か助けやアドバイスがあればよろしくお願いします。他に情報がありましたら教えてください。 OpenSwanトンネルとFortiGateトンネルの複数の構成を試しましたが、これまでのところ役に立ちません。
編集1:FortiGate構成情報!
config vpn ipsec phase1-interface
edit "icms"
set type static
set interface "wan1"
set ip-version 4
set ike-version 1
set local-gw 0.0.0.0
set nattraversal enable
set keylife 86400
set authmethod psk
set mode aggressive
set peertype any
set mode-cfg disable
set proposal aes128-sha1 aes192-sha256
set localid "icms"
set localid-type auto
set negotiate-timeout 30
set fragmentation enable
set dpd enable
set forticlient-enforcement disable
set comments "Phase1 to Remote Linux"
set npu-offload enable
set dhgrp 14 5
set wizard-type custom
--More-- set xauthtype disable
set mesh-selector-type disable
set remote-gw '<IP of Ubuntu Machine>'
set monitor ''
set add-gw-route disable
set psksecret ENC <encrypted string>
set keepalive 10
set auto-negotiate enable
set dpd-retrycount 3
set dpd-retryinterval 5
next
end
そして、phase2 fortigate config:
config vpn ipsec phase2-interface
edit "@icms"
set phase1name "icms"
set proposal aes128-sha1 aes256-sha1 3des-sha1 aes128-sha256 aes256-sha256 3des-sha256
set pfs disable
set replay enable
set keepalive disable
set auto-negotiate enable
set keylife-type seconds
set encapsulation tunnel-mode
set comments ''
set protocol 0
set src-addr-type subnet
set src-port 0
set dst-addr-type ip
set dst-port 0
set keylifeseconds 43200
set src-subnet 172.16.1.0 255.255.255.248
set dst-start-ip '<IP of Ubuntu Machine>'
next
end
OpenSwanに縛られていない場合は、 here'sstrongSwan クライアントを使用してIPsec VPNトンネル経由でFortiGateに接続する方法についての説明(ただし、DNSはありません)。
認証は、事前共有キーとXAuthを使用して行われます。
/etc/ipsec.conf
の関連構成:
# Introduction to IPsec: http://www.ipsec-howto.org/x202.html
config setup
charondebug = "dmn 1, mgr 1, ike 2, chd 1, job 1, cfg 3, knl 2, net 2, lib 1"
conn myConn
keyexchange = ikev1
# Cipher used for the key exchange
# modp3072 is Diffie Hellman group 15. Refer to this for other groups:
# http://www.omnisecu.com/tcpip/what-is-diffie-hellman-group.php
ike = aes128-sha256-modp3072
esp = aes128-sha256-modp3072
# You'll have to find out whether your FortiGate uses aggressive mode for
# authentication. If it does, you must set "aggressive = yes" here to
# connect successfully
aggressive = yes
right = 83.xxx.xxx.xx
#right = vpn.the-vpn-server.com
rightsubnet = 10.7.0.0/24
rightid = %any
rightauth = psk
left = %defaultroute
leftauth = psk
leftauth2 = xauth
# The user name used for authentication
xauth_identity = "theuser"
auto = start
/etc/ipsec.secrets
:
# ipsec.secrets - strongSwan IPsec secrets file
: PSK "secret_preshared_key"
: XAUTH "secret_xauth_password"
Sudo ipsec start --nofork
を使用してトンネルを作成します。
StrongSwanに関するリソース:
有効なサポート契約を結んでいる場合は、Linuxのssl vpnクライアントをサポートサイトからダウンロードすることもできます。私はそれを数年間、問題なく異なるバージョンで使用しています。
https://support.fortinet.com/Download/FirmwareImages.aspx
/ FortiGate/v5.00/5.2/5.2.7/VPN/SSLVPNTools /