FortiGate IPsec VPN:複数のフェーズ2接続(複数のサブネット)の構成
OpenSwanを使用してFortiGateルーターにIPsec接続を確立しようとしています。 FortiGateは2つの異なるサブネット上にあり、両方にアクセスする必要があります。 FortiGateでは、1つのフェーズ1接続と1つのフェーズ2接続を定義しました。これにより、サブネットのoneに正常に接続できます。
両方のサブネットに同時にアクセスできる必要があります。 OpenSwanで2つの個別の接続(サブネットごとに1つ)を作成することで、既存のフェーズ1トンネルの再利用が自動的に試行されます(追加の接続に新しいフェーズ2トンネルを作成する場合)。
両方の接続を起動すると、ログによると、OpenSwanが各接続を順番に再ネゴシエートしようとする連続ループに陥っているようです(一度にpingできるのは1つのサブネットのみです)。これは、新しい接続が試行されたときにFortiGateが既存の接続をドロップしているためだと思います。
次の質問があります。
同じIPsecイニシエーターからの2つの同時接続(サブネットごとに1つの接続)を許可するようにFortiGateを構成するにはどうすればよいですか?これは可能ですか? (ドキュメントはこれについて少し曖昧なようです。)
FortiGateのフェーズ2接続を特定のサブネットに具体的に関連付ける必要がありますか?その場合、どうすればこれを実行できますか?
同じエンドポイント間で複数のIPsec VPN接続を行うときに問題/問題点はありますか?
1および2)場合によっては、2つのphase 2sが必要です。たとえば、追加のセキュリティ(ファイアウォールポリシーへのフローの前など)を処理する場合、2つのサブネットを2つのphase 2sに分割する必要があります。この複雑さがなく、同じquick mode selectors内に2つのサブネットを含めるのに十分なphase 2を作成できる場合を除きます。
3)複数のphase 1s?はい。あなたが言うようにそれは落ちます。同じphase 2を持つ複数のphase 1s?落ちません。
Openswanはわかりませんが、FortiOSは少なくともIPsec仕様をサポートしています。あなたの最善の策は、両側でデバッグし、何が起こっているかを正確に確認することです。
OpenSwan側のサポートはできませんが、最近、Cyberoamを複数のサブネットを持つFortigateに接続する必要がありました。サブネットごとに、別のフェーズ2(同じフェーズ1オブジェクトにバインド)を作成できます。
そのようなフェーズ2オブジェクトの例を次に示します。
クイックモードセレクタセクションで、ローカルアドレスとサブネットを指定します。これが、他のフェーズ2オブジェクトとは異なります。私の場合、再利用のために(ファイアウォールメニューの下に)アドレスオブジェクトを作成しました。
ここでは、サブネットごとに異なる物理ポートを使用しているため、サブネットごとにVPNポリシーを作成しました。
私はこれがあなたの物事の寛大な面であなたを助けることを願っています。
PS:スクリーンショットのほとんどの名前を変更しましたが、より意味のある名前を付けた方がいいです。
Cisco ASAとFortiGateファイアウォールの間にこの問題が発生しました。上記の答えは正しいです。複数のフェーズ2セレクターが必要です。そうでない場合、FortiGateファイアウォールは、新しいSAを作成する代わりに、複数のサブネットに対して同じSAを使用しようとします。これにより、一度に1つのサブネットのみが機能します。1つのフェーズ1のみがでも必要です。