Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • VPN Ipsec Forti

    Enviado por

    Jorge Solis
    40 visualizações4 páginas
    Este documento proporciona instrucciones para diagnosticar problemas comunes con túneles IPsec VPN utilizando comandos CLI en FortiGate. Describe comandos para verificar estadísticas del túnel, políticas de firewall, problemas de autenticación PSK, discrepancias de propuestas SA y borrar puertas de enlace IKE existentes.

    Descrição original:

    l

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOCX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Este documento proporciona instrucciones para diagnosticar problemas comunes con túneles IPsec VPN utilizando comandos CLI en FortiGate. Describe comandos para verificar estadísticas del túnel, políticas de firewall, problemas de autenticación PSK, discrepancias de propuestas SA y borrar puertas de enlace IKE existentes.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    40 visualizações4 páginas

    VPN Ipsec Forti

    Enviado por

    Jorge Solis
    Este documento proporciona instrucciones para diagnosticar problemas comunes con túneles IPsec VPN utilizando comandos CLI en FortiGate. Describe comandos para verificar estadísticas del túnel, políticas de firewall, problemas de autenticación PSK, discrepancias de propuestas SA y borrar puertas de enlace IKE existentes.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 4

    El primer comando de diagnóstico que vale la pena ejecutar, en cualquier

    situación de resolución de problemas de IPsec VPN, es el siguiente:

    diagnose vpn tunnel list

    Este comando es muy útil para recopilar datos estadísticos, como el número de
    paquetes cifrados frente a descifrados, el número de bytes enviados contra
    recibidos, el identificador SPI, etc. Este tipo de información en el resultado
    resultante puede marcar la diferencia al determinar el problema con la VPN.

    Otro comando de diagnóstico apropiado que vale la pena probar es:

    diagnose debug flow

    Este comando le informará de cualquier falta de política de firewall, falta de


    ruta de reenvío y problemas de orden de política.

    Si aún no puede conectarse al túnel VPN, ejecute el siguiente comando de


    diagnóstico en la CLI :

    diagnose debug application ike -1

    diagnose debug enable

    El resultado resultante puede indicar dónde se está produciendo el


    problema. Cuando termine, deshabilite los diagnósticos con el siguiente
    comando:

    diagnose debug reset

    diagnose debug disable

    El túnel VPN baja con frecuencia.


    Si su túnel VPN baja con frecuencia, verifique la configuración de la Fase 2 y
    aumente el valor de Keylife o habilite Autokey Keep Alive .
    La clave precompartida no coincide (error de falta de
    coincidencia PSK).
    Es posible identificar una discrepancia de PSK usando la siguiente combinación
    de comandos CLI:

    diag vpn ike log filter name <phase1-name>

    diag debug app ike -1

    diag debug enable

    Esto le proporcionará pistas sobre cualquier problema de PSK u otra


    propuesta. Si es una discrepancia de PSK, debería ver algo similar a la siguiente
    salida:

    ike 0:TRX:322: PSK auth failed: probable pre-shared key mismatch

    ike Negotiate SA Error:

    Las propuestas de SA no coinciden (desajuste de propuesta de


    SA).
    El problema más común con los túneles IPsec VPN es una falta de coincidencia
    entre las propuestas ofrecidas entre cada parte. Sin un acuerdo de coincidencia y
    propuesta, la Fase 1 nunca podrá establecerse. Use el siguiente comando para
    mostrar las propuestas presentadas por ambas partes.

    diag debug app ike -1

    diag debug enable

    El resultado resultante debe incluir algo similar a lo siguiente,


    donde azul representa el dispositivo VPN remoto, y el verde representa el
    FortiGate local.
    responder received SA_INIT msg

    incoming proposal:

    proposal id = 1:

    protocol = IKEv2:

    encapsulation = IKEv2/none

    type=ENCR, val=AES_CBC (key_len = 256)

    type=INTEGR, val=AUTH_HMAC_SHA_96

    type=PRF, val=PRF_HMAC_SHA

    type=DH_GROUP, val=1536.

    proposal id = 2:

    protocol = IKEv2:

    encapsulation = IKEv2/none

    type=ENCR, val=3DES_CBC

    type=INTEGR, val=AUTH_HMAC_SHA_2_256_128

    type=PRF, val=PRF_HMAC_SHA2_256

    type=DH_GROUP, val=1536.

    proposal id = 1:

    protocol = IKEv2:

    encapsulation = IKEv2/none

    type=ENCR, val=AES_CBC (key_len = 128)

    type=INTEGR, val=AUTH_HMAC_SHA_96
    type=PRF, val=PRF_HMAC_SHA

    type=DH_GROUP, val=1536.

    Los túneles IPsec VPN preexistentes deben borrarse.


    Si necesita borrar una puerta de enlace IKE , use los siguientes comandos:

    diagnose vpn ike restart

    diagnose vpn ike gateway clear

    Você também pode gostar