IPSec 站点到站点 VPN Fortigate

网络工程 虚拟专用网 ipsec 加强 cli
2022-02-21 07:26:25

我们有一个站点到站点的 VPN 连接到分支机构。有时由于某种原因连接断开,然后我们在 Fortigate 310b 上收到这样的错误

ike Negotiate ISAKMP SA Error: ike 3:20b27f143b809b23/0000000000000000:0: no SA proposal chosen

重新建立联系是一场斗争,我只能通过反复试验来管理它。我现在的问题是,我该如何进一步调试?我知道 CLI 命令

diag debug application ike -1
diag debug enable

这给了我上面提到的错误,但是这个错误似乎是由于多种原因而引发的,我无法弄清楚究竟是哪一个。我们已经在这些问题上浪费了很多时间,我需要学会从核心调试和解决这些问题,否则我会迷路。

非常感谢任何帮助。

2个回答

没有选择 SA 提议意味着双方的安全关联不匹配。也许一侧的 keylife 时间是 86400,而另一侧是 86400。

您应该从每个 fortigate 发布 IKE 阶段 1 和阶段 2。

有时,在配置中双方的值相同,但错误是相同的,这是因为某些 IPSec Cookie 没有正确刷新。根据我的经验,解决此问题的一个好方法是再次创建隧道。

希望能帮助到你!

对于未来绝望的搜索者:
事实证明,问题不在于配置设置,而在于远程网关类型。经过数小时甚至数天的尝试每种组合并双重和三重检查阶段1和阶段2参数(如密钥寿命时间、DH-组等)后,我通过将远程网关类型更改为拨号(在一侧)使其工作。让我花费这么多时间的是在建立站点-2-站点连接方面部分成功的奇怪之处,甚至在连接之前我可能会在其他网关类型上查看之前就失败了。

其它你可能感兴趣的问题
上一篇Fortigate 10 GE 上行链路 下一篇使用 RoCE 时是否需要在交换机上启用 PFC?