IPSEC Tunnel - No errors, Phase2 doesn't start

justmirsk · June 12, 2025, 8:17pm

שלום לכולם,

אני מנסה להפעיל ולתקן מעבר IPSEC, והשלב הראשון מצביע שההסכמה הצליחה על פי היומנים, ואז שלב 2 אף פעם לא מנסה להתחיל. השלב הראשון משך את עצמו ומתחיל מחדש.

אני משתמש ב-Fortios 7.0.5 fg60poe.

מישהו יש רעיונות למה יכול לקרות?

עריכה

סליחה על חוסר בפרטים.

המקור הוא Fortigate 60E עם חיבור DSL של Frontier המשתמש ב-PPPoE על WAN1 עם IP סטטי (שימי לב, אני לא משתמש ב-IP הלא מסומנים כדי להגדיר את הסטטי, זה לא יעבוד מסיבה כלשהי)

היעד הוא Cisco ASA עם IP סטטי. יש לנו 10 מיקומים עם Fortigates, כולם התחברו כראוי על עם ה-VPN, חוץ מאותו מיקום. ההבדל היחיד הוא חלק ה-PPPoE. ההגדרות צריכות להיות זהות בכל הממקומות. בדקתי את ה-ASA, יש לו את אותן מדיניות IPSEC כמו במיקומים אחרים.

בפריסת שלב 1, הגדרתי NAT Traversal כדי לאפשר (כך מוגדרים כל המקומות שלנו)
Authentication והצעת שלב 1 תואמות את השאר וההגדרות בדיוק

שלב 2:
שדות הרשתות והעצמים עם שמות כתובות לא הצליחו עבור כתובות מקומיות ורחוקות
אפשר Re-Play Detection - לא סומן
אפשר PFS - סומן
Local Port - סומן
Remote Port - סומן
פרוטוקול - סומן
Auto-Negotiated - סומן
Autokey Keep Alive - סומן

עריכה 2

נראה שהבעיה נפתרה. מחקתי את ההגדרות ב-ASA ושוב יצרתי אותן, והנמבנה חזר לפעילות. אני לא בטוח למה זה השפיע, אבל משהו תקוע איפשהו. תודה על כל ההצעות!

Golle · June 12, 2025, 8:17pm

אפשר להפעיל דיבוג מעבר ב-CLI, כמובן שהחלף את 1.1.1.1 לקצה השני של נקודת הקשר.

diag vpn ike log-filter dst-addr4 1.1.1.1 
diagnose debug console timestamp enable 
diagnose debug app ike -1
diagnose debug enable

בכבה את הדיבוג בסיום:

diag debug reset

בהצלחה, תהיה הרבה פלט לעבור עליו.

pfunkylicious · June 12, 2025, 8:17pm

נסה לשלוח תעבורה דרך הנמבנה ולראות אם שלב 2 עולה

iamdanvir · June 12, 2025, 8:17pm

טוב, תשתף עוד על סוג המכשיר השני.

Kinops · June 12, 2025, 8:17pm

כאשר זה קורה במחשב שלי, זה כמעט תמיד בגלל שבחרתי באופציית שלב selectors. בדרך כלל הולך עם 0.0.0.0 0.0.0.0 בשני הרשתות ויוצר מסלול סטטי.

Frequent-Weird · June 12, 2025, 8:17pm

הייתי נתקל בבעיה דומה. נסה לאתחל את השער וראה אם שלב 2 יתחיל לאחר מכן.

בזבזתי שעות רבות באבחון, ועוד עם TAC. בסופו של דבר ויתרנו על הגילוי של הבעיה הבסיסית. משהו בגרסה קושחה אולי. זה היה ב-6.4.7 בזוג HA.

NumerousTooth3921 · June 12, 2025, 8:17pm

האם תוכל לשתף את ההגדרות?
האם יש מדיניות מוגדרת?
האם יש מסלול מוגדר?

scotch_jb_top · June 12, 2025, 8:17pm

1.) מהו המכשיר בצד השני?
אם אין Fortigate, ייתכן שכדאי לשקול המלצות מספק אחר. אולי תצטרך לחזור ל-IKEv1

2.) הצלחה במשא ומתן לא אומר שה-CPI נקבע. ייתכן וה-Fortigate והמכשיר האחר שוחחו ו-Fortigate קיבל מדיניות ISAKMP תואמת, אך זה לא הודבק בגלל בעיות במסלול, מדיניות חומת אש, DNS, סיסמאות, תעודות, DPD או אוטונגושיה ועוד. רק ההצעה (AES128/SHA512/DH21) תואמה…

3.) האם יש NAT-T או לא?
האם יש תעבורה על IP50 או TCP 4500/500?

4.) מצב המנהרת או מצב הממשק

ולעיתים נדירות, בראייה מסוימת, קיימת בעיה עם שלב 2 שגורמת לבעיית שלב 1.

scotch_jb_top · June 12, 2025, 8:17pm

האם תוכל לשתף את ההגדרות ב-cli משני הצדדים מכיוון ש-Fortigate ל-ASA זו תבנית משומשת נפוצה.

לעיתים קיימות פרשנויות שונות איך עובד IKEv2 מספק לספק.

Ouwekaas · June 12, 2025, 8:17pm

שימוש ב-“set auto-negotiate enable” בהגדרות שלב 2.