Клиент обратился с просьбой помочь настроить IPSec VPN туннель между Huawei USG6300 и FortiGate1200D.
Используемое оборудование:
Huawei USG6390 Version V100R001C30SPC600
FortiGate 1200D Version V5.6.2 build1486 (GA)
Настройка оборудования
Перейдем к настройке оборудования, будем мы это делать через web интерфейс.
Huawei USG:
1) Соединение у нас будет между двумя устройствами, поэтому выбираем Site-to-Site.
Задаем имя ipsec политики (в примере используем test) (рисунок 1).
Указываем внешний интерфейс, через который будет устанавливаться соединение.
IP адрес локального и удаленного устройства (в нашем примере 1.1.1.1и 2.2.2.2 соответственно).
Указываем тип аутентификации. У нас будет использоваться Pre-Shared Key – вводим сам ключ и указываем ID локального оборудования (в нашем примере используем IP адрес в качестве ID).
Рисунок 1. Test, site-to-site
2) Далее указываем какой трафик, собственно, мы и будем пускать через наш туннель (в нашем примере - из локальной сети 10.8.12.0 255.255.255.0 в удаленную сеть 10.20.2.0 255.255.255.0) (рисунок 2).
3) И последний шаг – указываем параметры для обмена ключами и поднятия туннеля (данные параметры должны совпадать на обоих устройствах, иначе туннель не будет установлен; Рисунок 3).
Рисунок 2. Трафик
Рисунок 3. Параметры обмена ключами
На удаленном устройстве (в нашем случае – FortiGate 1200D) выполняем аналогичные настройки(Рисунок 4а, 4б, 4в).
Рисунок 4а. Настройки FortiGate
Рисунок 4б. Настройки FortiGate
Рисунок 4в. Настройки FortiGate
Введем команды display ike sa и display ipsec sa для проверки туннеля:
[Huawei]display ike sa
15:53:34 2019/02/10
current ike sa number: 2
--------------------------------------------------------------------------------------------------
conn-id peer flag phase vpn
--------------------------------------------------------------------------------------------------
3003323 2.2.2.2 RD|ST|M v1:2 public
3003322 2.2.2.2 RD|ST|M v1:1 public
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
TD--DELETING NEG--NEGOTIATING D--DPD M--ACTIVE S--STANDBY
A—ALONE
[Huawei]display ipsec sa
15:53:44 2019/02/10
===============================
Interface: GigabitEthernet1/0/0
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "test"
sequence number: 1
mode: isakmp
vpn: public
-----------------------------
connection id: 3003323
rule number: 5
encapsulation mode: tunnel
holding time: 0d 0h 57m 46s
tunnel local : 1.1.1.1 tunnel remote: 2.2.2.2
flow source: 10.8.12.0/255.255.255.0 0/0
flow destination: 10.20.2.0/255.255.255.0 0/0
[inbound ESP SAs]
spi: 173066359 (0xa50c877)
vpn: public said: 0 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-MD5
sa remaining key duration (kilobytes/sec): 5242197/82934
max received sequence-number: 5168
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 2812772363 (0xa7a7800b)
vpn: public said: 1 cpuid: 0x0000
proposal: ESP-ENCRYPT-AES ESP-AUTH-MD5
sa remaining key duration (kilobytes/sec): 5238224/82934
max sent sequence-number: 7419
udp encapsulation used for nat traversal: N
Задача выполнена и теперь решение
можно спокойно использовать для аналогичных случаев.
Если всё сделано как указано выше или аналогично, но туннель не поднимается, то
перепроверьте настройки на обоих устройствах. Также причиной может являться
неправльно настроенная маршрутизация между устройствами.
Если туннель поднялся, но трафик не ходит, то проверьте следующие настройки:
1) ACL
2) Security policy
3) NAT policy
