10/10/2022 22:51 Editar um túnel IPsec

Edit an IPsec tunnel

Select an IPsec tunnel and then select Edit to open the Edit VPN Tunnel page.

Configure the following settings in the Edit VPN Tunnel page. After each editing a section, select the checkmark
icon to save your changes. After you make all of your changes, select OK.

The name of the IPsec tunnel

Name
cannot be changed.

An optional description of the

Comments
IPsec tunnel.

Network Select Edit to make changes.

IP Version This option is set to IPv4.

This option is set to Static IP

Remote Gateway Address for a remote peer
that has a static IP address.

Enter the IP address of the

IP Address
remote peer.

Select the name of the

interface
through which
remote peers connect to the
Interface
FortiGate unit that is
managed by the FortiProxy
unit.

https://help.fortinet.com/fortiproxy/11/Content/Admin Guides/FPX-AdminGuide/750_VPN/751a_CreateIPsecTunnel.htm#:~:text=The key lifetime c… 1/7

10/10/2022 22:51 Editar um túnel IPsec

Local Gateway Enable this option to

configure a local gateway and
then select Primary IP,
Secondary IP, or Specify.
Enter or select the IP
address.

Select Enable if a NAT device

exists between the local
FortiGate unit that is
managed by a FortiProxy
unit. and the VPN peer or
client. The local FortiGate
unit and the VPN peer or
client must have the same
NAT traversal setting (both
selected or both cleared) to
connect reliably.
Additionally,
you can force IPsec to use
NAT traversal.

NAT Traversal
If this option is set to Forced,
the FortiGate uses a port
value of zero when
constructing the NAT
discovery hash for the peer.
This causes the peer to think
it is behind a NAT device, and
it will use UDP encapsulation
for IPsec, even if no NAT is
present. This approach
maintains interoperability with
any IPsec implementation
that supports the NAT-T RFC.

If you selected Enable or

Keepalive Frequency Forced for the NAT traversal,
enter a keep-alive frequency.

Select On Idle to reestablish

VPN tunnels on idle
connections and clean up
dead IKE peers if required.
You can use this option to
receive notification whenever
a tunnel goes up or down, or
to keep the tunnel connection
open when no traffic is being
generated inside the tunnel.
Dead Peer Detection
With On Idle or On Demand
selected, you can use the
config vpn ipsec phase1
(tunnel mode) or config
vpn ipsec phase1-
interface (interface mode)
CLI command to optionally
specify a retry count and a
retry interval.

Authentication Select Edit to make changes.

Method Select Pre-shared Key or

Signature:

Pre-shared Key
—A preshared
key contains at
least six random

https://help.fortinet.com/fortiproxy/11/Content/Admin Guides/FPX-AdminGuide/750_VPN/751a_CreateIPsecTunnel.htm#:~:text=The key lifetime c… 2/7

10/10/2022 22:51 Editar um túnel IPsec

alphanumeric
characters.
Users of the
VPN must
obtain the
preshared key
from the person
who manages
the VPN server
and add the
preshared key
to their VPN
client
configuration.
Signature—Use
one or more
certificates for
authentication.

Se você selecionou Chave

pré-compartilhada para o
método de autenticação,
insira a chave pré-
compartilhada que a unidade
FortiGate gerenciada por
uma unidade FortiProxy
usará para se autenticar no
peer remoto ou cliente dial-up
durante as negociações da
Fase 1. Você deve definir a
Pre-shared Key mesma chave no ponto
remoto ou cliente.

A chave deve conter pelo

menos 6 caracteres
imprimíveis. Para proteção
ideal contra ataques
atualmente conhecidos, a
chave deve consistir em um
mínimo de 16 caracteres
alfanuméricos escolhidos
aleatoriamente. O limite é de
128 caracteres.

Se você selecionou
Assinatura para o método de
autenticação, selecione + e,
em seguida, selecione um ou
nome válido
mais certificados que a
unidade FortiGate gerenciada
por uma unidade FortiProxy
usará para se autenticar.

A versão 1 do IKE é
Versão
selecionada por padrão.

Modo Selecione Agressivo ou

Principal (proteção de ID) :

Principal
(proteção de ID)
— Os
parâmetros da

https://help.fortinet.com/fortiproxy/11/Content/Admin Guides/FPX-AdminGuide/750_VPN/751a_CreateIPsecTunnel.htm#:~:text=The key lifetime c… 3/7

10/10/2022 22:51 Editar um túnel IPsec

Fase 1 são
trocados em
várias rodadas
com
informações de
autenticação
criptografadas.
Agressivo — Os
parâmetros da
Fase 1 são
trocados em
uma única
mensagem com
informações de
autenticação
que não são
criptografadas.

Se você selecionou Chave

pré-compartilhada para o
método de autenticação e o
modo agressivo, selecione
Qualquer ID de peer ou ID de
peer específico . Se você
selecionar Specific peer ID ,
Aceitar Tipos
insira o peer ID.

Se você selecionou
Assinatura para o método de
autenticação, selecione
Qualquer ID de peer , ID de
peer específico ou Certificado
de peer .

Se você selecionou Any peer

ID do par
ID , insira o peer ID.

Se você selecionou o
certificado de mesmo nível
Certificado de par para o método de
autenticação, selecione o
certificado.

Selecione Editar para fazer

alterações.

Proposta da Fase 1 Selecione Adicionar para

obter outra linha de opções
de criptografia e
autenticação.

Selecione DES , 3DES ,

AES128 , AES192 e AES256
para usar como algoritmo de
Criptografia
criptografia. AES256 é o mais
seguro; DES é o menos
seguro.

Selecione MD5 , SHA1 ,

SHA256 , SHA384 , SHA512
Autenticação
ou SHA256 para usar para
autenticação.

Grupos Diffie-Hellman Selecione um ou mais

https://help.fortinet.com/fortiproxy/11/Content/Admin Guides/FPX-AdminGuide/750_VPN/751a_CreateIPsecTunnel.htm#:~:text=The key lifetime c… 4/7

10/10/2022 22:51 Editar um túnel IPsec

algoritmos de chave
assimétrica Diffie-Hellman
(DH) para criptografia de
chave pública.

Insira o tempo (em

segundos) que deve passar
antes que a chave de
criptografia IKE expire.
Vida útil da chave (segundos) Quando a chave expira, uma
nova chave é gerada sem
interromper o serviço. A vida
útil da chave pode ser de 120
a 172.800 segundos.

Um ID local é um valor
Código local
alfanumérico.

Selecione Editar para fazer

XAUTH
alterações.

Selecione Cliente para exigir

Modelo um nome de usuário e senha
adicionais para autenticação.

Se você selecionou Cliente ,

Nome de usuário insira um nome de usuário
para autenticação.

Se você selecionou Cliente ,

Senha insira uma senha para
autenticação.

Selecione Adicionar para

Seletores de Fase 2 inserir novas informações da
fase 2.

Nome Digite o nome da Fase-2.

Uma descrição opcional do

Comentários
túnel VPN.

Selecione Sub -rede ,

Intervalo IP , Endereço IP ,
Endereço nomeado, Sub-
Endereço local rede IPv6 , Intervalo IPv6 ,
Endereço IPv6 ou Endereço
IPv6 nomeado e insira as
informações especificadas.

Selecione Sub -rede ,

Intervalo IP , Endereço IP ,
Endereço nomeado, Sub-
Endereço remoto rede IPv6 , Intervalo IPv6 ,
Endereço IPv6 ou Endereço
IPv6 nomeado e insira as
informações especificadas.

Selecione Adicionar para

obter outra linha de opções
Proposta da Fase 2
de criptografia e
autenticação.

Criptografia Selecione NULL , DES ,

3DES , AES128 ,
https://help.fortinet.com/fortiproxy/11/Content/Admin Guides/FPX-AdminGuide/750_VPN/751a_CreateIPsecTunnel.htm#:~:text=The key lifetime c… 5/7
10/10/2022 22:51 Editar um túnel IPsec

AES128GCM , AES192 ,
AES256 ou AES256GCM
para usar como algoritmo de
criptografia. NULL  é o
menos seguro; AES256GCM
é o mais seguro.

Selecione NULL , MD5 ,

SHA1 , SHA256 , SHA384 ou
Autenticação
SHA512 para usar para
autenticação.

Os ataques de repetição
ocorrem quando uma parte
Ativar detecção de repetição não autorizada intercepta
uma série de pacotes IPsec e
os reproduz de volta no túnel.

O sigilo direto perfeito (PFS)

melhora a segurança
Ativar sigilo de encaminhamento perfeito (PFS) forçando uma nova troca
Diffie-Hellman sempre que a
vida útil da chave expirar.

Selecione Todos ou insira o

Porta local
número da porta local.

Selecione Tudo ou insira o

Porta remota
número da porta remota.

Selecione Todos ou insira o

Protocolo
número do protocolo.

Habilite a opção se desejar

que o túnel seja renegociado
Negociação automática
automaticamente quando o
túnel expirar.

Marque a caixa de seleção

se desejar que o túnel
Autokey Keep Alive permaneça ativo quando
nenhum dado estiver sendo
processado.

Selecione o método para

determinar quando a chave
da Fase 2 expira:
Seconds ,
Kilobytes ou Both . Se você
Vida útil da chave
selecionar Ambos , a chave
expirará quando o tempo
tiver passado ou o número de
kilobytes for processado.

Se você selecionou
Segundos ou Ambos para o
Segundos
tempo de vida da chave,
insira o número de segundos.

Se você selecionou Kilobytes

ou Ambos para o tempo de
Kilobytes
vida da chave, insira o
número de kilobytes.

Abrir tópico com navegação

https://help.fortinet.com/fortiproxy/11/Content/Admin Guides/FPX-AdminGuide/750_VPN/751a_CreateIPsecTunnel.htm#:~:text=The key lifetime c… 6/7

10/10/2022 22:51 Editar um túnel IPsec

https://help.fortinet.com/fortiproxy/11/Content/Admin Guides/FPX-AdminGuide/750_VPN/751a_CreateIPsecTunnel.htm#:~:text=The key lifetime c… 7/7