Conectando-se a uma VPN FortiGate de uma máquina Linux remota via OpenSwan

3

Aqui está a configuração:

Eu tenho uma unidade FortiGate em uma rede empresarial, que tem uma configuração VPN FortiGate. Máquinas em uma rede remota que pode executar o FortiClient (máquinas Windows e Mac) não têm problemas para se conectar a esta VPN. Fui encarregado de conectar as máquinas Linux à VPN, que não é suportada pela Fortigate.

Para tentar descobrir como, eu tenho uma máquina Ubuntu 16.04 configurada em uma rede remota, com o OpenSwan sendo executado tentando se conectar a um túnel específico que eu configurei para ele no FortiGate.

O mais próximo que eu posso conseguir conectar até agora, porém, é isto:

002 "icms" #1: initiating Aggressive Mode #1, connection "icms"
113 "icms" #1: STATE_AGGR_I1: initiate
003 "icms" #1: received Vendor ID payload [RFC 3947] method set to=115 
003 "icms" #1: received Vendor ID payload [Dead Peer Detection]
003 "icms" #1: received Vendor ID payload [XAUTH]
003 "icms" #1: ignoring unknown Vendor ID payload [8299031757a36082c6a621de0005024d]
002 "icms" #1: Aggressive mode peer ID is ID_IPV4_ADDR: 'a.b.c.d'
003 "icms" #1: no suitable connection for peer 'a.b.c.d'
003 "icms" #1: initial Aggressive Mode packet claiming to be from a.b.c.d on a.b.c.d but no connection has been authorized
218 "icms" #1: STATE_AGGR_I1: INVALID_ID_INFORMATION
002 "icms" #1: sending notification INVALID_ID_INFORMATION to a.b.c.d:500

Onde "icms" é o nome da conexão, e 'a.b.c.d' é o IP público do FortiGate.

Minha configuração do /etc/ipsec.d/icms.conf:

conn icms  
    type=tunnel  
    authby=secret  
    pfs=no  
    ike=aes128-sha1;modp1536  
    phase2alg=aes128-sha1  
    aggrmode=yes  
    keylife=28800s  
    ikelifetime=1800s  
    right=a.b.c.d  
    rightnexthop=%defaultroute  
    rightsubnet=172.16.1.0/16
    left=e.f.g.h  
    leftnexthop=%defaultroute 
    auto=add  

'e.f.g.h' é o IP da máquina Ubuntu.

Meu /etc/ipsec.d/icms.secrets:

a.b.c.d : PSK "presharedsecret"

Qualquer ajuda ou conselho seria apreciado, e se eu puder fornecer mais alguma informação, por favor, me diga. Eu tentei várias configurações de túneis OpenSwan e FortiGate, sem sucesso até agora.

EDIT 1: as informações de configuração do FortiGate!

config vpn ipsec phase1-interface
    edit "icms"
        set type static
        set interface "wan1"
        set ip-version 4
        set ike-version 1
        set local-gw 0.0.0.0
        set nattraversal enable
        set keylife 86400
        set authmethod psk
        set mode aggressive
        set peertype any
        set mode-cfg disable
        set proposal aes128-sha1 aes192-sha256
        set localid "icms"
        set localid-type auto
        set negotiate-timeout 30
        set fragmentation enable
        set dpd enable
        set forticlient-enforcement disable
        set comments "Phase1 to Remote Linux"
        set npu-offload enable
        set dhgrp 14 5
        set wizard-type custom
--More--                  set xauthtype disable
        set mesh-selector-type disable
        set remote-gw '<IP of Ubuntu Machine>'
        set monitor ''
        set add-gw-route disable
        set psksecret ENC <encrypted string>
        set keepalive 10
        set auto-negotiate enable
        set dpd-retrycount 3
        set dpd-retryinterval 5
    next
 end

E a configuração do fortify da fase2:

config vpn ipsec phase2-interface

edit "@icms"
    set phase1name "icms"
    set proposal aes128-sha1 aes256-sha1 3des-sha1 aes128-sha256 aes256-sha256 3des-sha256
    set pfs disable
    set replay enable
    set keepalive disable
    set auto-negotiate enable
    set keylife-type seconds
    set encapsulation tunnel-mode
    set comments ''
    set protocol 0
    set src-addr-type subnet
    set src-port 0
    set dst-addr-type ip
    set dst-port 0
    set keylifeseconds 43200
    set src-subnet 172.16.1.0 255.255.255.248
    set dst-start-ip '<IP of Ubuntu Machine>'
next
end
    
por user2892724 23.05.2016 / 15:58

3 respostas

1

Se você não estiver vinculado ao OpenSwan, aqui está discussão sobre como se conectar ao FortiGate através de um túnel IPsec VPN usando o cliente strongSwan (sem DNS, no entanto).

A autenticação é feita usando uma chave pré-compartilhada e XAuth.

A configuração relevante de /etc/ipsec.conf :

# Introduction to IPsec: http://www.ipsec-howto.org/x202.html
config setup
  charondebug = "dmn 1, mgr 1, ike 2, chd 1, job 1, cfg 3, knl 2, net 2, enc 1, lib 1"

# Basics of strongSwan: https://wiki.strongswan.org/projects/strongswan/wiki/IntroductionTostrongSwan
# Configuring strongSwan: https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
# Example configurations: https://wiki.strongswan.org/projects/strongswan/wiki/ConfigurationExamples
conn myConn
  keyexchange = ikev1

  # Cipher used for the key exchange
  # modp3072 is Diffie Hellman group 15: http://www.omnisecu.com/tcpip/what-is-diffie-hellman-group.php
  ike = aes128-sha256-modp3072
  esp = aes128-sha256-modp3072

  aggressive = yes

  right = 83.xxx.xxx.xx
  #right = vpn.the-vpn-server.com
  rightsubnet = 10.7.0.0/24
  rightid = %any
  rightauth = psk

  left = %defaultroute
  leftauth = psk
  leftauth2 = xauth
  xauth_identity = "theuser"

  auto = start

/etc/ipsec.secrets :

# ipsec.secrets - strongSwan IPsec secrets file
: PSK "secret_preshared_key"
: XAUTH "secret_xauth_password"

Crie o túnel usando sudo ipsec start --nofork .

    
por 16.02.2018 / 15:27
0

Você também pode fazer o download de um cliente ssl vpn para Linux em seu site de suporte, se tiver um contrato de suporte válido, pode ser mais fácil. Eu tenho usado por alguns anos com diferentes versões sem problemas.

link

/ FortiGate / v5.00 / 5.2 / 5.2.7 / VPN / SSLVPNTools /

    
por 23.05.2016 / 16:59
-1

Eu fiquei com isso por volta de três dias. Há um grande problema entre o openswan e o fortigate quando o IKEv1 está ativado. Se você mudar o openswan para IKEv2 (usando ikev2 = insistir) e fortigate no IKEv2, é claro - tudo funciona bem.

ikev2=insist
keyexchange=ike
ike=aes256-sha1;modp1024
phase2=esp
phase2alg=aes256-sha1;modp1024
pfs=no
forceencaps=yes
aggrmode=yes
salifetime=3600s
ikelifetime=10800s
    
por 02.01.2018 / 14:48