FortiGate IPSec 高级选项配置版本 1.0 时间作者支持的版本状态 2011 年 9 月刘茂杰 FortiOS v3.0, v4.0.x, v4.1.x, v4.2.x, v4.3.x 用于本文的测试版本 : Fortigate-VM v4.0

Size: px

Start display at page:

Download "FortiGate IPSec 高级选项配置版本 1.0 时间作者支持的版本状态 2011 年 9 月刘茂杰 FortiOS v3.0, v4.0.x, v4.1.x, v4.2.x, v4.3.x 用于本文的测试版本 : Fortigate-VM v4.0"

颁谷马
5 years ago
Views:

1 FortiGate IPSec 高级选项配置版本 1.0 时间作者支持的版本状态 2011 年 9 月刘茂杰 (mliu@fortinet.com) FortiOS v3.0, v4.0.x, v4.1.x, v4.2.x, v4.3.x 用于本文的测试版本 : Fortigate-VM v4.0,build0482, (MR3 Patch 2) 草稿

2 目录 1. 目的密钥周期 (keylife) 保持存活 (autokey keep alive) 自动协商 NAT 穿越 (NAT traversal, 及 keepalive) 对等体状态探测 (DPD) 场景拓扑图 FGT_CQ 的阶段 1 配置测试效果场景拓扑图 FGT_CQ 配置摘要测试效果调试命令... 13

1. 目的本文介绍 FortiGate 虚拟专用网 IPSec 的 IKE 阶段 1 和阶段 2 高级选项中的几个重要参数, 以解释各个参数的作用和使用场景 - 密钥周期 (keylife) - 保持存活 (autokey keep alive) - 自动协商 ( 阶段 2) - NAT 穿越 (NAT Tranversal) - 对等体状态探测 (DPD) 2.

3 1. 目的本文介绍 FortiGate 虚拟专用网 IPSec 的 IKE 阶段 1 和阶段 2 高级选项中的几个重要参数, 以解释各个参数的作用和使用场景 - 密钥周期 (keylife) - 保持存活 (autokey keep alive) - 自动协商 ( 阶段 2) - NAT 穿越 (NAT Tranversal) - 对等体状态探测 (DPD) 2. 密钥周期 (keylife) IKE 阶段 1 和阶段 2 都有密钥周期 Keylife 如果加密密钥保持不变, 数据传输过程中一直用相同的密钥加密, 容易导致暴力破解泄密, 所以有必要周期性的更新密钥阶段 1 的密钥用以保护阶段 2 的协商过程阶段 1 只有密钥时间周期, 阶段 2 可以用密钥时间周期和传输数据的字节数, 一旦到了时间周期或者传输的字节数, 就会触发密钥的更新合理的配置应该是阶段 2 的密钥周期比阶段 1 的长, 阶段 2 生成的密钥是 IPSec SA 的参数之一缺省情况下, 阶段 1 的密钥周期为秒, 阶段 2 的密钥周期为 1800 秒配置如下 :

config vpn ipsec phase1-interface edit "tobj" set type static set interface "port1" set keylife 28

4 config vpn ipsec phase1-interface edit "tobj" set type static set interface "port1" set keylife set remote-gw config vpn ipsec phase2-interface edit "tobj" set keylife-type seconds set phase1name "tobj" set keylifeseconds 1800 注意 :IPSec 隧道建立后如果 1800 秒的时间内持续有数据传输, 阶段 2 将到期执行密钥协商过程 ; 如果 1800 秒的时间内没有数据传输, 阶段 2 将停止密钥协商过程, 同时 IPSec 隧道也会 down 3. 保持存活 (autokey keep alive) 阶段 2 的密钥协商到期可能因为没有数据传输, 导致 IPSec 隧道 down, 如果有新的数据走隧道传输要求, 将会触发隧道重新建立隧道建立的过程需要时间, 在隧道建立期间往往会发生丢包的问题, 从而影响某些应用正常工作最好

0/24" set keylifeseconds 1800 set src-name "10.10.10.0/24" 对应的配置截图如下 : 4.

5 的解决办法是即使隧道空闲, 还会继续协商阶段 2 的密钥, 同时隧道也不 down 这就是参数保持存活的作用 config vpn ipsec phase2-interface edit "tobj" set dst-addr-type name set keepalive enable set phase1name "tobj" set proposal 3des-sha1 aes128-sha1 set src-addr-type name set dst-name " /24" set keylifeseconds 1800 set src-name " /24" 对应的配置截图如下 : 4. 自动协商前面提到过 IPSec 隧道建立需要时间, 这段时间可能影响某些应用正常工作即使启用了保持存活隧道功能, 也有可能某些其他原因导致隧道 down 如果让隧道在应用流量传输前就 up, 就能完全解决这个问题 FortiGate 在阶段 2 引入了新的参数自动协商隧道所以, 如果对隧道协商延迟非常敏感, 或者互联网接入线路不稳定的环境, 建议开启自动协商参数 config vpn ipsec phase2-interface

6 edit "tobj" set auto-negotiate enable # 命令行有效 set dst-addr-type name set phase1name "tobj" set proposal 3des-sha1 aes128-sha1 set src-addr-type name set dst-name " /24" set keylifeseconds 120 set src-name " /24" 5.NAT 穿越 (NAT traversal, 及 keepalive) NAT 穿越适应于 IPSec 中的一端在 NAT 设备后的情形 IPSec 设备为解决 ESP 包穿越 NAT 而将 ESP 包转换为 UDP/4500 包后再传输 NAT 设备, 包括防火墙或者路由器, 往往对空闲一定时间后的 NAT 会话表予以清除清除 NAT 会话表后, NAT 设备为相同会话的后续数据包建立新的 NAT 表, 然而 IPSec 的另一端却无法处理这时需要周期性的 NAT-T keepalive 包以保持 NAT 会话表不至于超时 config vpn ipsec phase1-interface edit "tobj_p1" set type static set interface "port1" set nattraversal enable # 缺省启用 NAT 穿越 set keepalive 10 # 缺省 10 秒 set remote-gw 对等体状态探测 (DPD) 当两端建立 IPSec 隧道后, 两端设备本身都没发生故障, 但路径上的其他设备链路或路由出现了问题两端设备都不知道故障已经发生, 仍然将数据加密后向对端发送, 直至密钥协商周期到了后, 重新协商密钥不成功, 才让 IPSec 隧道 down 这段故障时间对有些应用场景是不能接受的比如, 对于有冗余路径的环境, 及时发现故障路径显然很有必要,DPD(Dead Peer Detection) 就是为此而设计的

7 DPD 的工作原理是 : 当 IPSec 隧道间有双向数据传输时,DPD 不发送探测消息 ; 如果只有发出而没有回复数据, 或者链路空闲没有数据传输时,DPD 就周期性发送 IKE 通知消息给对端, 如果收到对端 ack 消息, 则表明路径工作正常, 反之, 则判断路径有故障下面通过两个例子观察 DPD 的作用 6.1 场景 1 IPSec 接口模式, 开启 DPD, 如果中间链路有问题, 路由表中 IPSec 的路由将消失拓扑图 FGT_CQ 的阶段 1 配置 config vpn ipsec phase1-interface edit "tobj" set type static set interface "port1" set dpd enable set remote-gw set dpd-retrycount 3 set dpd-retryinterval 5 config router static edit 4 set device "tobj" # 如果 3 次探测都失败, 则判断路径有问题 # 间隔 5 秒探测一次, 故障时间最为 15 秒

8 set dst # 到对端网络的路由测试效果正常情况下 :FGT_CQ 的 DPD 问 R-U-THERE,FGT_BJ 确认 R-U-THERE-ACK FGT_CQ # diagnose debug enable FGT_CQ # diagnose debug application ike :18:11 ike 0:toBJ: link is idle > :500 dpd=1 seqno=4a :18:11 ike 0:toBJ:75: s IKEv1 DPD probe, seqno :18:11 ike 0:toBJ:75: enc F7B5FAA3A1D79121B4CB74E8F7C079FB C4630B B E164BB AAA9F2B CBFE D28F7B5FAA3A1D79121B4CB74E8F7C079FB A :18:11 ike 0:toBJ:75: out F7B5FAA3A1D79121B4CB74E8F7C079FB C4630B C40FC661CA16EC8E8B96717AD D4DDDFF1FB8AAFDAB09791AB59D5323E9D68880D3DD81C693DE980ACEC7F928B01A2059BB4C342 F16E182E255624FC6792B9356A :18:11 ike 0:toBJ:75: sent IKE msg (R-U-THERE): :500-> :500, len=92, id=f7b5faa3a1d79121/b4cb74e8f7c079fb:3c4630b :18:11 ike 0: comes :500-> :500,ifindex= :18:11 ike 0: IKEv1 exchange=informational id=f7b5faa3a1d79121/b4cb74e8f7c079fb:76ced40f len= :18:11 ike 0: in F7B5FAA3A1D79121B4CB74E8F7C079FB CED40F C D6C1A2163CB7DEFE CE22854C253EF20CA4C7C19084E79C5C ED6A315C985F9DF54A01DDDF9263E5E D 6FCF EA :18:11 ike 0:toBJ:75: dec F7B5FAA3A1D79121B4CB74E8F7C079FB CED40F C0B000018E6A69D32740F53EB AB3F787171E7AE06C397898B D29F7B5FAA3A1D79121B4CB74E8F7C079FB A A :18:11 ike 0:toBJ:75: notify msg received: R-U-THERE-ACK FGT_CQ # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area

9 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* /0 [10/0] via , port1 [10/0] via , port3, [10/0] C /24 is directly connected, port2 S /24 [10/0] is directly connected, tobj # 链路正常时的路由 C /24 is directly connected, port1 C /24 is directly connected, port3 故障情况 : 中间防火墙 FW_a 上阻断 UDP 500 的 IKE 会话, 以便阻断 DPD 探测, 模拟出故障的情形 FGT_CQ # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* /0 [10/0] via , port1 [10/0] via , port3, [10/0] C /24 is directly connected, port2 S /24 [10/0] is directly connected, tobj # 链路非正常时路由消失 C /24 is directly connected, port1 C /24 is directly connected, port3 6.2 场景 2 IPSec 接口模式, 开启 DPD, 双链路冗余如果主链路出问题, 路由表中走主链路的 IPSec 路由将消失, 备份链路的 IPSec 路由立即生效

10 6.2.1 拓扑图 FGT_CQ.conf FW_a.conf FGT_BJ.conf FGT_CQ 配置摘要本例中, 备份 IPSec 隧道阶段 1 根据主链路 DPD 的探测结果作为 IPSec 隧道的切换条件 config vpn ipsec phase1-interface edit "tobj_p1" # 主隧道 set interface "port1" set mode aggressive set proposal 3des-sha1 aes128-sha1 set remote-gw set psksecret edit "backupp1" # 备份隧道 set interface "port3" set mode aggressive set proposal 3des-sha1 aes128-sha1 set remote-gw set monitor-phase1 "tobj_p1" # 检测主隧道的状态 set psksecret config router static

11 edit 4 set device "tobj_p1" # 两条等值路由 set dst edit 5 set device "backupp1" # 两条等值路由 set dst config system zone edit "tobj_zone" # 通过 ZONE 简化防火墙策略配置 set interface "backupp1" "tobj_p1" set intrazone allow config firewall policy edit 4 set srcintf "port2" set dstintf "tobj_zone" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ANY" 测试效果正常情况 : 主链路的隧道工作, 备份链路不工作 FGT_CQ # diagnose vpn tunnel list list all ipsec tunnel in vd name=tobj_p1 ver=1 serial= :0-> :0 lgwy=dyn tun=intf mode=auto bound_if=2 proxyid_num=1 child_num=0 refcnt=7 ilast=1 olast=1 stat: rxp=0 txp=0 rxb=0 txb=0 dpd: mode=active on=1 idle=5000ms retry=3 count=0 seqno=24 natt: mode=none draft=0 interval=0 remote_port=0 proxyid=tobj_p2 proto=0 sa=1 ref=2 auto_negotiate=0 serial=2 src: 0: / :0 dst: 0: / :0 SA: ref=3 options= e type=00 soft=0 mtu=1436 expire=1747 replaywin=1024 seqno=1 life: type=01 bytes=0/0 timeout=1750/1800

12 dec: spi=4bf59fe6 esp=3des key=24 472bb40410a2eaf17b49b3970becc7b a1dbea6a ah=sha1 key=20 7bd55dba7c26ef8d4a37c711588c enc: spi=985f0cc3 esp=3des key=24 15d2ceecc43515fb075c0fabd c5b58d55772f579 ah=sha1 key=20 6e789b39b73f1483ca7ad1e033bb a8f name=backupp1 ver=1 serial= :0-> :0 lgwy=dyn tun=intf mode=auto bound_if=4 proxyid_num=1 child_num=0 refcnt=5 ilast=7 olast=6 stat: rxp=0 txp=0 rxb=0 txb=0 dpd: mode=active on=0 idle=5000ms retry=3 count=0 seqno=7 natt: mode=none draft=0 interval=0 remote_port=0 proxyid=backupp2 proto=0 sa=0 ref=1 auto_negotiate=0 serial=2 src: 0: / :0 dst: 0: / :0 故障情况下, 切换到备份链路工作 : FGT_CQ # diagnose vpn tunnel list list all ipsec tunnel in vd name=tobj_p1 ver=1 serial= :0-> :0 lgwy=dyn tun=intf mode=auto bound_if=2 proxyid_num=1 child_num=0 refcnt=5 ilast=26 olast=26 stat: rxp=0 txp=0 rxb=0 txb=0 dpd: mode=active on=0 idle=5000ms retry=3 count=0 seqno=25 natt: mode=none draft=0 interval=0 remote_port=0 proxyid=tobj_p2 proto=0 sa=0 ref=1 auto_negotiate=0 serial=2 src: 0: / :0 dst: 0: / : name=backupp1 ver=1 serial= :0-> :0 lgwy=dyn tun=intf mode=auto bound_if=4 proxyid_num=1 child_num=0 refcnt=7 ilast=3 olast=3 stat: rxp=4 txp=4 rxb=448 txb=240 dpd: mode=active on=1 idle=5000ms retry=3 count=0 seqno=10 natt: mode=none draft=0 interval=0 remote_port=0 proxyid=backupp2 proto=0 sa=1 ref=2 auto_negotiate=0 serial=2 src: 0: / :0 dst: 0: / :0 SA: ref=3 options= e type=00 soft=0 mtu=1436 expire=1731 replaywin=1024 seqno=5 life: type=01 bytes=0/0 timeout=1753/1800 dec: spi=4bf59fe7 esp=3des key=24 7eec022f0a095570bf63359aeda377318bc943fca2cb4bc7 ah=sha1 key=20 db1e8d553a82f2575b61678edbf37bb15d275c84 enc: spi=985f0cc4 esp=3des key=24 3aaa93ff16a66a1b0830e07a5a2673d547d81bf6c170f63a

13 ah=sha1 key=20 9fd1f6728a982ff96e1d40af4970aa 故障修复后, 切换到主链路工作 : FGT_CQ # diagnose vpn tunnel list list all ipsec tunnel in vd name=tobj_p1 ver=1 serial= :0-> :0 lgwy=dyn tun=intf mode=auto bound_if=2 proxyid_num=1 child_num=0 refcnt=7 ilast=0 olast=0 stat: rxp=10 txp=10 rxb=1120 txb=600 dpd: mode=active on=1 idle=5000ms retry=3 count=0 seqno=36 natt: mode=none draft=0 interval=0 remote_port=0 proxyid=tobj_p2 proto=0 sa=1 ref=2 auto_negotiate=0 serial=2 src: 0: / :0 dst: 0: / :0 SA: ref=3 options= e type=00 soft=0 mtu=1436 expire=1738 replaywin=1024 seqno=b life: type=01 bytes=0/0 timeout=1753/1800 dec: spi=4bf59fe8 esp=3des key=24 3a0ebcc6f571ca39b f0ecd7fc0aa4f59bbf29f09d ah=sha1 key=20 0eac310fb145a1f0bb78f7d3b6010b320c9156e1 enc: spi=985f0cc5 esp=3des key=24 22fd649c697f e3ff85bb ae54fa ah=sha1 key=20 3d71868f39f5448fa6e45d57b400cadd898f38e name=backupp1 ver=1 serial= :0-> :0 lgwy=dyn tun=intf mode=auto bound_if=4 proxyid_num=1 child_num=0 refcnt=5 ilast=70 olast=70 stat: rxp=0 txp=0 rxb=0 txb=0 dpd: mode=active on=0 idle=5000ms retry=3 count=0 seqno=180 natt: mode=none draft=0 interval=0 remote_port=0 proxyid=backupp2 proto=0 sa=0 ref=1 auto_negotiate=0 serial=2 src: 0: / :0 dst: 0: / :0 7. 调试命令 diagnose debug enable diagnose debug application ike -1 观察 IKE 协商及 DPD 探测过程 diagnose vpn tunnel list 观察 IPSec SA 参数有多个网关时, 过滤后观察 ike 的协商过程 : diagnose vpn ike log-filter dst-addr4 < 对端网关的 IP 地址 > diagnose vpn ike log-filter src-addr4 < 本地网关的 IP 地址 > diagnose vpn ike log-filter dst-port <IKE 协商的对端端口, 比如 500> diagnose vpn ike log-filter src-port <IKE 协商的本地端口, 比如 500>

NAT环境下采用飞塔NGFW

NAT环境下采用飞塔NGFW 版本 V1.0 时间作者 2017 年 5 月王祥状态反馈 support_cn@fortinet.com 目录 1 应用场景... 3 2 网络拓扑... 3 3 版本说明... 3 4 配置步骤... 4 4.1 FortiGate VXLAN 配置... 4 4.2 Ubuntu VXLAN 配置... 6 5 测试结果... 6 6 注意事项... 7 1 应用场景 VXLAN over

FortiGate IPSec 高级选项配置 版本 1.0 时间作者支持的版本状态 2011 年 9 月刘茂杰 FortiOS v3.0, v4.0.x, v4.1.x, v4.2.x, v4.3.x 用于本文的测试版本 : Fortigate-VM v4.0

FortiGate IPSec 高级选项配置版本 1.0 时间作者支持的版本状态 2011 年 9 月刘茂杰 FortiOS v3.0, v4.0.x, v4.1.x, v4.2.x, v4.3.x 用于本文的测试版本 : Fortigate-VM v4.0