Yapılandırılabilir IKE bağlantı noktası

Bazı ISS’ler, UDP bağlantı noktası 500’ü engelleyerek bir IPsec VPN’nin kurulmasını engeller. Buna uyum sağlamak için IKE ve IKE NAT-T bağlantı noktaları değiştirilebilir.

IKE bağlantı noktalarını ayarlamak için:

config system settings

       set ike-port

      set ike-natt-port

end

ike-port

IKE/IPsec trafiği için UDP bağlantı noktası (1024 – 65535,
varsayılan = 500).

ike-natt
port

NAT-T modunda IKE/IPsec trafiği için UDP bağlantı noktası (1024 -65535, varsayılan = 4500).

Örnek

Bu örnekte, IKE bağlantı noktası 6000’e ve IKE NAT-T bağlantı noktası 5000’e ayarlanmıştır. Bir siteden siteye VPN ve NAT’lı bir çevirmeli VPN, belirtilen bağlantı noktalarının kullanıldığını gösterecek şekilde yapılandırılmıştır.

IKE bağlantı noktalarını ayarlamak için:

config system settings

        set ike-port 6000

       set ike-natt-port 5000

end

Siteden siteye VPN’i yapılandırmak ve kontrol etmek için:

1. Faz1 ve Faz2 arayüzlerini yapılandırın:

config vpn ipsec phase1-interface

      edit “s2s”

            set interface “port27”

            set ike-version 2

            set peertype any

            set net-device disable

            set proposal aes128-sha256 aes256-sha256 aes128gcm-prfsha256 aes256gcm-prfsha384 chacha20poly1305-prfsha256

            set wizard-type static-fortigate

            set remote-gw 11.101.1.1

            set psksecret **********

      next

end

config vpn ipsec phase2-interface

      edit “s2s”

              set phase1name “s2s”

              set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305

              set src-addr-type name

             set dst-addr-type name

             set src-name “s2s_local”

             set dst-name “s2s_remote”

       next

end

2. IKE ağ geçidi listesini kontrol edin ve belirtilen bağlantı noktasının kullanıldığını doğrulayın:

# diagnose vpn ike gateway list

vd: root/0

name: s2s

version: 2

interface: port27 17

addr: 173.1.1.1:6000 -> 11.101.1.1:6000

tun_id: 11.101.1.1

remote_location: 0.0.0.0

created: 194s ago

PPK: no

IKE SA: created 1/2 established 1/2 time 0/4500/9000 ms

IPsec SA: created 1/2 established 1/2 time 0/4500/9000 ms …

3. VPN tünel listesini kontrol edin:

# diagnose vpn tunnel list

list all ipsec tunnel in vd 0

——————————————————name=s2s ver=2 serial=1

173.1.1.1:6000->11.101.1.1:6000 tun_id=11.101.1.1 dst_mtu=1500 dpd-link=on

remote_location=0.0.0.0

weight=1

bound_if=17 lgwy=static/1 tun=tunnel/15 mode=auto/1 encap=none/520

options[0208]=npu frag-rfc run_state=0 accept_traffic=1 overlay_id=0…

NAT ile çevirmeli VPN’i yapılandırmak ve kontrol etmek için:

1. Faz1 ve Faz2 arayüzlerini yapılandırın:

config vpn ipsec phase1-interface

       edit “server”

              set type dynamic

              set interface “port27”

              set ike-version 2

              set peertype any

              set net-device disable

              set proposal aes128-sha256 aes256-sha256 aes128gcm-prfsha256 aes256gcm-prfsha384 chacha20poly1305-prfsha256

             set dpd on-idle

             set wizard-type static-fortigate

            set psksecret **********

            set dpd-retryinterval 60

       next

end

config vpn ipsec phase2-interface

       edit “server”

             set phase1name “server”

             set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305

            set src-addr-type name

           set dst-addr-type name

           set src-name “server_local”

           set dst-name “server_remote”

       next

end

2. IKE ağ geçidi listesini kontrol edin ve belirtilen bağlantı noktasının kullanıldığını doğrulayın:

# diagnose vpn ike gateway list

vd: root/0

name: server_0

version: 2 interface: port27 17

addr: 173.1.1.1:5000 -> 173.1.1.2:65416

tun_id: 173.1.1.2

remote_location: 0.0.0.0

created: 90s ago

nat: peer

PPK: no

IKE SA: created 1/1 established 1/1 time 0/0/0 ms

IPsec SA: created 1/1 established 1/1 time 0/0/0 ms …

3. VPN tünel listesini kontrol edin:

# diagnose vpn tunnel list

list all ipsec tunnel in vd 0

——————————————————

name=server_0 ver=2 serial=a 173.1.1.1:5000->173.1.1.2:65416 tun_id=173.1.1.2

dst_mtu=1500 dpd-link=on remote_location=0.0.0.0 weight=1

bound_if=17 lgwy=static/1 tun=tunnel/15 mode=dial_inst/3 encap=none/904

options[0388]=npu rgwy-chg rport-chg frag-rfc run_state=0 accept_traffic=1

overlay_id=0 …

İlginizi Çekebilecek Makaleler​

AP İşletme Sıcaklığı

Bu 7.0.1 geliştirmesi, wireless denetleyicinin yerleşik sıcaklık sensörlerine sahip FortiAP-F modellerinden sıcaklık değerleri almasına olanak tanır. FortiOS’ta aşağıdaki komutlar mevcuttur: Aşağıdaki komut FortiAP de geçerli:

Devamı »
TLS loglarını iyileştirin

Sunucu sertifikası bilgilerini ve TLS anlaşmalarını loglara kaydetmek için SSL/SSH profiline yeni seçenekler eklendi. Bu seçenekler etkinleştirildiğinde UTM SSL loglarına yeni alanlar eklenir. config firewall

Devamı »