FortiGate防火墙与Aruze云隧道中断问题

最新推荐文章于 2024-04-02 15:03:02 发布
最新推荐文章于 2024-04-02 15:03:02 发布
阅读量2.1k 收藏
点赞数
分类专栏: # FortiGate 技术小贴士 文章标签: 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hqj7394314/article/details/122931877
版权

配置场景:

本文主要讲解FortiGate防火墙与Aruze云搭建IPSECVPN后,经常出现隧道中断问题处理方法。

配置步骤:

1. 我们在配置防火墙和Aruze云的IPSECVPN隧道后,隧道正常建立,两端的数据也可以正常访问,同时在两端也设置了link-monitor监控,但是很多时候在一两天后就会出现隧道中断的问题,通过Aruze云上从防火墙的日志上可以看到“peer SA proposal not match local policy”的错误,如下图:

2. 这种时候一般都是阶段二的参数存在不一致的情况导致。

Aruze云上的IPSECVPN隧道阶段二一般没有DH组的选择,所以阶段二很多时候会选择None

相应的FortiGate防火墙需要在阶段二中把PFS功能关闭:

之后隧道就不会因为部分参数不一致而导致出现经常性的中断了。

 

 

最低0.47元/天 解锁文章
如何关闭服务器的防火墙设置?
云计算分享
02-19 3233
一.linux系统服务器关闭防火墙 使用命令:chkconfig iptables off 关闭防火墙。 二.windows系统服务器关闭防火墙 1.在windows服务器界面中打开控制板面; 2.在控制板面中,选择“系统和安全”进入; 3.进入后,点击“windows防火墙”选项; 4.最后在界面左边选项栏中,选择启用或关闭windows防火墙,关闭防火墙即可。 三.windows Server 2008服务器关闭防火墙 在DOS窗口运行命令:netsh firewall set opmode disab
Fortigate疑难杂症之 - IPSec传输大文件中断/其他异常中断
RaySun的技术Blog
08-03 1728
将IPSec两端的防火墙设备的IKE端口更改为非默认端口将IPSec两端的协商模式由主动模式改为野蛮模式。
Fortigate疑难杂症之 - IPSec中断恢复后语音及视讯仍然异常
RaySun的技术Blog
12-06 1191
故障描述: IPSec VPN因为各种原因出现中断并恢复后语音电话未能恢复,需要重启防火墙后解决 问题分析 未重启前通过抓包发现VPN恢复后,语音流量仍被防火墙通过SNAT走公网出去,并未匹配VPN隧道 分析后得知VPN因为某些不可控因素断线时,正常电话UDP数据包可能会被SNAT到公网形成会话(即失败状态),此时即使VPN恢复,失败的通信会话也会一直存在,而后的电话通信通过防火墙则不会进行路由选择,直接走原有(失败的,转到公网的)会话,导致电话一直不通,重启防火墙后又恢复正常,遇到这种情况可以添加 “黑洞
Error: could not assemble transaction: ProposalResponsePayloads do not match - proposal response: ve
lakersssss24的博客
06-21 1901
最近在跑fabric2.3自测链码的时候遇到了很多错误,自己也是很苦恼,改了好几个下午的bug就是找不到真正的问题所在,下面先看一个错误:Error: could not assemble transaction: ProposalResponsePayloads do not match - proposal response: version:1 response:......
隧道篇 / IPsec】(7.0) ❀ 05. 阻止IPsec安全隧道连接请求 ❀ FortiGat 防火墙
防火墙技术专栏
04-06 3818
FortiGate设备上默认开放UDP 500端口,允许IPsec隧道连接。但是可能会导致安全漏洞和ISAKMP DOS攻击。ISAKMP DOS攻击会破坏预共享密钥(如果VPN采用激进模式配置),多个请求会导致CPU过载,最终填满所需的缓冲区空间。...
Fortinet-FortiOSAPI:用于Fortigate防火墙(FortiOS)配置API进行交互PHP库
04-01
用于Fortigate防火墙(FortiOS)API(CMDB,日志和监视器)进行交互PHP库。 该库可以检索,创建,更新和删除防火墙上的配置。 您可以在上找到所有受支持的方法,您将需要一个帐户来浏览信息。 目录 入门 获取 。...
飞塔FortiGate防火墙基础配置
04-23
FortiGate防火墙USG6000典型配置案例、IPSEC配置案例、SSL VPN配置案例、通过PPPoE接入互联网、通过PPPoE接入互联网、客户端L2TP over IPSec接入(VPN Client/Windows/Mac OS/Android/iOS、应用控制(限制P2P流量、...
飞塔FortiGate防火墙固件镜像6.2.4_1112(FGT_50E-v6-build1112-FORTINET.out)升级包
05-21
飞塔防火墙固件镜像6.2.4_1112版本,适用于 FortiGate 50E. 发布时间为:2020年5月10号(FGT_50E-v6-build1112-FORTINET.out)
4-FortiGate防火墙SNMP状态监控OID值说明-v1.1归类.pdf
03-15
4-FortiGate防火墙SNMP状态监控OID值说明-v1.1归类.pdf
日常记录(一)HubSpoke下FortiGate防火墙IPsecVPN搭建
xuyuelin1996的博客
07-12 1024
多分支机构总部互联,拓扑大致为Hub-Spoke的模式,各个分部通过IPsecVPN接入总部,总部为固定IP,分部为ADSL或者固定IP。
教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
03-09 5425
在本节课中你将了解IPsec的架构组件以及如何配置它们。通过展示IPsec基础知识的能力,你将能够理解IPsec的概念和好处。
教程篇(7.4) 11. IPsec VPN & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4
最新发布
防火墙技术专栏
04-02 1853
在本课中,你将了解IPsec VPN的架构组件以及如何配置它们。
ganymed-ssh2连接linux报错Cannot negotiate, proposals do not match
qq_42278023的博客
07-04 1226
ganymed-ssh2连接linux报错Cannot negotiate, proposals do not match
关于×××在DEBUG过程中可能出现的问题
weixin_34008933的博客
08-22 1693
最近在调试DEBUG过程中看到本文章,觉得对于×××错误信息不熟的人来说非常有用,几部囊括了所有的×××的DEBUG错误提示信息,并且作者对其进行了一定说明,遂转发希望对更多的人有帮助。原文地址:×××(IKEv1)實驗Troubleshooting系列一:L2L-×××作者:修羅雷禪×××中的排錯,甭管是在工作中還是在LAB中,都是挺重要的。因此,我,人...
飞塔防火墙之Link Monitor
weixin_41903258的博客
10-31 1867
Link Monitor类似于SLA,飞塔防火墙线路质量探测的一个功能。
FortiGate防火墙配置链路探测Link-Monitor及状态查询
叫我小火柴
02-11 4041
FortiGate防火墙通过链路健康监控向服务器发送探测信号,根据延迟、抖动和数据包丢失等参数来评估链路质量,并展示链路的健康状况。Link-monitor配置
使用ganymed-ssh2连接linux报错Cannot negotiate, proposals do not match.
CL有毒
01-28 4345
文章目录问题发现问题解决 问题发现 一个项目中使用了ganymed-ssh2作为连接linux机器的工具,在开发环境和大多数测试及线上环境运行良好,但某一次测试环境部署后,对应功能被访问后开始出现如下异常: Caused by: java.io.IOException: There was a problem while talking to 127.0.0.1:22 at ch.ethz.ssh2.Connection.connect(Connection.java:642) at com.ultra
隧道篇 / IPsec】(5.2) ❀ 03. IPsec - 拨号宽带 to 固定IP宽带 (策略模式) ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
09-06 1万+
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙防火墙之间建立IPsec可以很好满足要求,固定IP宽带和ADSL拨号宽带都很常见,这里介绍两种不同宽带连接IPsec的配置方法。 IPsec的作用 IPsec作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一......
隧道篇 / IPsec】(5.2) ❀ 02. IPsec - 固定IP宽带 to 固定IP宽带 (接口模式) ❀ FortiGate 防火墙
防火墙技术专栏
09-18 7040
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙防火墙之间建立IPsec可以很好满足要求,这里介绍两端都是固定IP的情况防火墙的配置。 IPsec的作用 作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来。   ......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叫我小火柴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值