FortiGate IPsec VPN: настройка нескольких подключений фазы 2 (несколько подсетей)
Я пытаюсь установить соединение IPsec с маршрутизатором FortiGate с помощью OpenSwan. FortiGate находится в двух разных подсетях, и мне нужно получить доступ к ним обеим. В FortiGate я определил одно соединение фазы 1 и одно соединение фазы 2. Это позволяет мне успешно подключиться к один подсетей.
Мне нужно иметь доступ к обеим подсетям одновременно. Принятая мудрость состоит в том, чтобы создать два отдельных соединения (по одному на подсеть) в OpenSwan, и при создании дополнительного подключения он автоматически попытается повторно использовать существующий туннель фазы 1 (при создании нового туннеля фазы 2 для дополнительного подключения).
Когда я вызываю оба соединения, согласно журналам кажется, что OpenSwan застрял в непрерывном цикле попыток повторного согласования каждого соединения по очереди (я могу пинговать только одну подсеть в любой момент). Я предполагаю, что это связано с тем, что FortiGate разрывает существующее соединение при попытке установить новое.
У меня есть следующие вопросы:
Как мне настроить FortiGate, чтобы разрешить два одновременных соединения от одного и того же инициатора IPsec (одно соединение на подсеть)? Это вообще возможно? (Документация кажется немного расплывчатой по этому поводу.)
Нужно ли мне специально связывать соединение фазы 2 в FortiGate с определенной подсетью, и если да, то как мне это сделать?
Есть ли проблемы / ошибки при создании нескольких IPsec VPN-подключений между одними и теми же конечными точками?
Я не могу помочь вам со стороны OpenSwan, но недавно мне пришлось подключить Cyberoam к Fortigate с несколькими подсетями. Для каждой подсети вы можете создать еще одну фазу 2 (привязанную к тому же объекту фазы 1):
Вот пример такого объекта фазы 2:
В разделе переключателя быстрого режима укажите локальный адрес и подсеть, это то, что отличается от других объектов фазы 2. В моем случае я создал объекты адреса (в меню брандмауэра) для повторного использования.
В нашем fortigate мы используем разные физические порты для каждой подсети, поэтому мы создали политику VPN для каждой подсети:
Я надеюсь, что это поможет вам в этом.
PS: Большинство вещей на скриншоте переименовал, лучше дать более осмысленные имена.
1 и 2) Вы правы, что вам нужно два phase 2s, в некоторых случаях. Например, при работе с дополнительной безопасностью (например, предыдущей в потоке политик брандмауэра) разделение двух подсетей на две phase 2s требуется. Если у вас нет этой сложности и вы не умеете создавать quick mode selectors достаточно широкая, чтобы охватить две подсети в одной phase 2.
3) Несколько phase 1с? Да. Он упадет, как вы описали. Множественный phase 2с тем же phase 1? Он не упадет.
Я не знаю openswan, но FortiOS поддерживает как минимум IPsec спецификации. Лучше всего отладить обе стороны и точно посмотреть, что происходит.
Я столкнулся именно с этой проблемой между межсетевым экраном Cisco ASA и FortiGate. Ответ правильный. Вам нужно несколько селекторов фазы 2, иначе брандмауэр FortiGate попытается использовать одну и ту же SA для нескольких подсетей вместо создания новой SA. В результате одновременно работает только одна подсеть. Однако требуется только одна фаза1.