配置多个PSK的连接用户IPsec阶段一
2020-06-16 01:06:00 作者: Administrator 来源:互联网,版权归作者所有 浏览次数: 287 文字大小:【大】【中】【小】
说明:本文档针对FortiGate在主模式下配置多个预共享(PSK)模式连接用户模式IPSec 阶段一。
描述:
如果在主模式下同一接口下配置多个拨号阶段一,那么相同的阶段一将总被所有的拨号客户端匹配,主模式交换认证的第三阶段会显示该错误,日志信息如下:
2009-11-04 16:00:00 device_id=FGTxxx log_id=0101023003 type=event subtype=ipsec pri=error loc_ip=aa.bb.cc.dd loc_port=500 rem_ip=ee.ff.gg.hh rem_port=500 out_if="wan1" vpn_tunnel="branchOffice" cookies=asd2345sdf4sdf345 action=negotiate status=negotiate_error msg="Negotiate SA Error: probable pre-shared secret mismatch"
当多个拨号主模式预共享阶段一存在时,IKE无法判断哪个阶段一用来匹配收到的第一个主模式包:
-源地址(拨号端)不能被用于区分(任何源地址都被允许使用阶段一);
-目的地址(Fortigate)不能被用于区分(已经假定所有的阶段一绑定至该接口);
-第一主模式包中没有任何额外的payload来标注如何选择阶段一。
所以,IKE的第一个阶段一总是被所有拨号端匹配。
解决方案:
为了在主模式PSK下多个拨号连接正常工作,建议使用如下方法:
-使用带对等体ID的Aggressive 模式
-使用带RSA签名的主模式
主模式RSA 签名不受该限制并能提供ID保护。
服务原则及地区范围
宜兴通达团队,在企业网络维护和企业信息化建设与咨询方面,有10多年经验。
我团队愿与客户一道,力求彻底解决客户问题!
我们不是在给企业提供“头痛医头、脚痛医脚”的暂时解决方案,而是在部署根本性安全与稳定服务!!
我们愿携手客户,建立企业IT规划;杜绝随意安装系统、软件等操作;力求共同维护有序、安全、稳定的网络办公环境!!!
IT服务,服务是根本,客户是上帝;我们提供快速响应、快速上门、快速排查,提供优质高效的服务!!!!
通达团队提供全国范围内的服务,服务形式包括远程协助、电话咨询、电子邮件咨询、传真咨询、问答平台的问题解决等。
宜兴地区提供上门服务:
- 市区服务:宜城街道、城北街道(屺亭街道)、新街街道、新庄街道、环科园、渚桥开发区
- 市郊服务:张渚镇、西渚镇、太华镇、徐舍镇、官林镇、杨巷镇、新建镇、和桥镇、高塍镇、万石镇、周铁镇、芳桥镇、丁蜀镇、湖父镇。
- 联系电话:189-21-343434
- 在线沟通:
