VPN VPN FortisGate: Configurando Múltiplas Conexões de Fase 2 (Múltiplas Sub-redes)

3

Estou tentando fazer uma conexão IPsec com um roteador FortiGate usando o OpenSwan. O FortiGate está em duas sub-redes distintas e eu preciso acessar as duas. No FortiGate, defini uma conexão da Fase 1 e uma conexão da Fase 2. Isso permite que eu faça uma conexão com sucesso com uma das sub-redes.

Eu preciso acessar as duas sub-redes ao mesmo tempo. A sabedoria recebida parece ser a de criar duas conexões separadas (uma por sub-rede) no OpenSwan e ao fazer uma conexão adicional, ela tentará automaticamente reutilizar um túnel de fase 1 existente (ao criar um novo túnel de fase 2 para a conexão adicional). / p>

Quando eu abro as duas conexões, de acordo com os logs, parece que o OpenSwan está preso em um loop contínuo de tentativas de renegociar cada conexão (eu só posso fazer ping de uma sub-rede a qualquer momento). Eu estou supondo que isso é porque o FortiGate está soltando a conexão existente quando um novo é tentado.

Eu tenho as seguintes perguntas:

  • Como devo configurar o FortiGate para permitir duas conexões simultâneas do mesmo iniciador IPsec (uma conexão por sub-rede)? Isso é possível? (A documentação parece ser um pouco vaga sobre isso.)

  • Eu preciso associar especificamente uma conexão de fase 2 no FortiGate a uma sub-rede específica e, em caso afirmativo, como vou fazer isso?

  • Existe algum problema / problema ao fazer várias conexões VPN IPsec entre os mesmos endpoints?

por FixMaker 24.01.2013 / 08:30

2 respostas

4

1 & 2) Você está certo de que precisa de dois phase 2 s, em alguns casos. Por exemplo, ao lidar com segurança adicional (anterior no fluxo de políticas de firewall, por exemplo), é necessário dividir duas sub-redes em dois phase 2 s. A menos que você não tenha essa complexidade e possa criar quick mode selectors de largura suficiente para abranger as duas sub-redes dentro do mesmo phase 2 .

3) Múltiplos phase 1 s? Sim. Ele vai cair como você descreve. Múltiplos phase 2 s com o mesmo phase 1 ? Não vai cair.

Eu não sei o openswan, mas o FortiOS suporta pelo menos as especificações IPsec . Sua melhor aposta é depurar os dois lados e ver exatamente o que está acontecendo.

    
por 30.03.2013 / 04:29
3

Não posso ajudá-lo no lado do OpenSwan, mas recentemente tive que conectar um Cyberoam a um Fortigate com várias sub-redes também. Para cada sub-rede, você pode criar outra fase 2 (ligada ao mesmo objeto de fase 1):

Vejaumexemplodeumobjetodefase2:

Na seção do seletor de modo rápido, especifique o endereço local e a sub-rede, que é diferente dos outros objetos da fase 2. No meu caso, criei objetos de endereço (no menu do firewall) para reusabilidade.

Em nosso fortigate, usamos uma porta física diferente para cada sub-rede. Por isso, criamos uma política de VPN para cada sub-rede:

Eu limito isso ajuda você no lado da fortuna das coisas.

PS: renomeei a maioria das coisas na captura de tela, é melhor dar nomes mais significativos.

    
por 31.12.2014 / 10:51