Bazı ISS’ler, UDP bağlantı noktası 500’ü engelleyerek bir IPsec VPN’nin kurulmasını engeller. Buna uyum sağlamak için IKE ve IKE NAT-T bağlantı noktaları değiştirilebilir.
IKE bağlantı noktalarını ayarlamak için:
config system settings
set ike-port
set ike-natt-port
end
ike-port
IKE/IPsec trafiği için UDP bağlantı noktası (1024 – 65535,
varsayılan = 500).
ike-natt
port
NAT-T modunda IKE/IPsec trafiği için UDP bağlantı noktası (1024 -65535, varsayılan = 4500).
Örnek
Bu örnekte, IKE bağlantı noktası 6000’e ve IKE NAT-T bağlantı noktası 5000’e ayarlanmıştır. Bir siteden siteye VPN ve NAT’lı bir çevirmeli VPN, belirtilen bağlantı noktalarının kullanıldığını gösterecek şekilde yapılandırılmıştır.
IKE bağlantı noktalarını ayarlamak için:
config system settings
set ike-port 6000
set ike-natt-port 5000
end
Siteden siteye VPN’i yapılandırmak ve kontrol etmek için:
1. Faz1 ve Faz2 arayüzlerini yapılandırın:
config vpn ipsec phase1-interface
edit “s2s”
set interface “port27”
set ike-version 2
set peertype any
set net-device disable
set proposal aes128-sha256 aes256-sha256 aes128gcm-prfsha256 aes256gcm-prfsha384 chacha20poly1305-prfsha256
set wizard-type static-fortigate
set remote-gw 11.101.1.1
set psksecret **********
next
end
config vpn ipsec phase2-interface
edit “s2s”
set phase1name “s2s”
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
set src-addr-type name
set dst-addr-type name
set src-name “s2s_local”
set dst-name “s2s_remote”
next
end
2. IKE ağ geçidi listesini kontrol edin ve belirtilen bağlantı noktasının kullanıldığını doğrulayın:
# diagnose vpn ike gateway list
vd: root/0
name: s2s
version: 2
interface: port27 17
addr: 173.1.1.1:6000 -> 11.101.1.1:6000
tun_id: 11.101.1.1
remote_location: 0.0.0.0
created: 194s ago
PPK: no
IKE SA: created 1/2 established 1/2 time 0/4500/9000 ms
IPsec SA: created 1/2 established 1/2 time 0/4500/9000 ms …
3. VPN tünel listesini kontrol edin:
# diagnose vpn tunnel list
list all ipsec tunnel in vd 0
——————————————————name=s2s ver=2 serial=1
173.1.1.1:6000->11.101.1.1:6000 tun_id=11.101.1.1 dst_mtu=1500 dpd-link=on
remote_location=0.0.0.0
weight=1
bound_if=17 lgwy=static/1 tun=tunnel/15 mode=auto/1 encap=none/520
options[0208]=npu frag-rfc run_state=0 accept_traffic=1 overlay_id=0…
NAT ile çevirmeli VPN’i yapılandırmak ve kontrol etmek için:
1. Faz1 ve Faz2 arayüzlerini yapılandırın:
config vpn ipsec phase1-interface
edit “server”
set type dynamic
set interface “port27”
set ike-version 2
set peertype any
set net-device disable
set proposal aes128-sha256 aes256-sha256 aes128gcm-prfsha256 aes256gcm-prfsha384 chacha20poly1305-prfsha256
set dpd on-idle
set wizard-type static-fortigate
set psksecret **********
set dpd-retryinterval 60
next
end
config vpn ipsec phase2-interface
edit “server”
set phase1name “server”
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
set src-addr-type name
set dst-addr-type name
set src-name “server_local”
set dst-name “server_remote”
next
end
2. IKE ağ geçidi listesini kontrol edin ve belirtilen bağlantı noktasının kullanıldığını doğrulayın:
# diagnose vpn ike gateway list
vd: root/0
name: server_0
version: 2 interface: port27 17
addr: 173.1.1.1:5000 -> 173.1.1.2:65416
tun_id: 173.1.1.2
remote_location: 0.0.0.0
created: 90s ago
nat: peer
PPK: no
IKE SA: created 1/1 established 1/1 time 0/0/0 ms
IPsec SA: created 1/1 established 1/1 time 0/0/0 ms …
3. VPN tünel listesini kontrol edin:
# diagnose vpn tunnel list
list all ipsec tunnel in vd 0
——————————————————
name=server_0 ver=2 serial=a 173.1.1.1:5000->173.1.1.2:65416 tun_id=173.1.1.2
dst_mtu=1500 dpd-link=on remote_location=0.0.0.0 weight=1
bound_if=17 lgwy=static/1 tun=tunnel/15 mode=dial_inst/3 encap=none/904
options[0388]=npu rgwy-chg rport-chg frag-rfc run_state=0 accept_traffic=1
overlay_id=0 …