Fortigate疑难杂症之 - IPSec传输大文件中断/其他异常中断

最新推荐文章于 2025-04-29 10:57:05 发布
最新推荐文章于 2025-04-29 10:57:05 发布
阅读量1.7k 收藏
点赞数 2
分类专栏: # Fortinet 文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sjj222sjj/article/details/131854126
版权

故障描述:

两端防火墙IPSec配置完全正确(一边为Fortigate),隧道也能正常建立,但总会因为未知原因断开。说起来这个问题处理起来不复杂,但是原因极难发现,也不会在日志或抓包信息里体现

问题处理:

这是近期在实际生产环境中出现的问题,两端IPSec配置正确,隧道也正常启动,但一段时间后会自动断开,手动来回更改配置,尝试发起连接后隧道又能正常起来

由于是Fortiagte和第三方防火墙建立的IPSec,初步怀疑硬件兼容性问题,尝试更改加密方式,秘钥生存时间等配置后未能解决

后在测试中发现一个现象,在IPSec传输大文件时达到一定数据量一定会断开,经过多方资料查询发现了真相,先见下图:

在这里插入图片描述
Fortiagte的官方Cookbook中这句话揭示了真相,运营商有可能会阻挡或限制UDP500或UDP4500的连接

首先UDP500和4500都是IPSec协商的报文,以下摘抄一段说明:

UDP 500 是ISAKMP互联网安全关联和钥匙管理协议的服务端口
(UDP 500 是Internet Security Association and Key Management Protocol (ISAKMP)端口号)
UDP 4500是UDP-encapsulated ESP and IKE端口号
如果中间设备有nat的话使用到端口UDP4500

简单来讲,在当前的常规场景中,主动模式一般默认会使用UDP500,野蛮模式默认会使用UDP4500

找到问题后,先尝试修改IKE端口,由于Fortigate从7.0版本开始支持手动指定ike-port,当前环境无法进行升级,同时需要两端同时进行修改,所以该方法暂时弃用

最后将IPSec协商由主动模式改为野蛮模式后,IPSec稳定运行,问题解决

处理方法总结

  • 将IPSec两端的防火墙设备的IKE端口更改为非默认端口
  • 将IPSec两端的协商模式由主动模式改为野蛮模式
FortiGate防火墙与Aruze云隧道中断问题
叫我小火柴
02-14 2097
本文主要讲解FortiGate防火墙与Aruze云搭建IPSECVPN后,经常出现隧道中断问题处理方法。
防火墙基础之华为防火墙分支与分支IPSec 对接
晚风挽着浮云的博客
09-19 3824
原理概述:指采用来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
4. 根据UDP端口号抓IPsec协议默认的500/4500端口报文
热门推荐
阿群的笔记(同步备份自简书)
02-01 1万+
根据UDP端口号抓IPsec协议默认的500/4500端口报文 另外, 根据IP报头之中的1个字节协议类型字段区分UDP/TCP UDP编码0x11=17 TCP编码为0x06=6 -- 另外, 抓IPsec/strongSwan包, 需要利用IPsec ESP协议编码为0x32=50: ip.proto=0x32 这种包不是UDP协议, 而是ESP协议(...
防火墙内网VPN设备的试验
m0_71483678的博客
07-26 814
需求:双机热备以主备模式,通过内网的VPN设备构建一条到达分公司的IPSEC VPN通道,保证办公区10.0.2.0/24网段可以访问到192.168.1.0/24网段 一、首先在FW1和FW3上做好双机热备的主备模式(FW1为主,FW3为备),如下图: 二、在FW1上配置安全策略,(1)放通隧道(放通源目udp500端口、目的UDP4500端口,放通esp协议),(2)放通VPN设备与办公区的所有流量,(3)放通从分公司网段到办公区网段的所有流量,如下: (1)放通隧道(放通源目
IPSec VPN自动断开的问题
pocher的博客
12-18 3597
需要检查下DPD检测有没有开启,如果没有开启超过链接生存周期后就会自动断开,DPD检测相当于Keepalive机制。
Fortigate疑难杂症- IPSec中断恢复后语音及视讯仍然异常
RaySun的技术Blog
12-06 1190
故障描述: IPSec VPN因为各种原因出现中断并恢复后语音电话未能恢复,需要重启防火墙后解决 问题分析 未重启前通过抓包发现VPN恢复后,语音流量仍被防火墙通过SNAT走公网出去,并未匹配VPN隧道 分析后得知VPN因为某些不可控因素断线时,正常电话UDP数据包可能会被SNAT到公网形成会话(即失败状态),此时即使VPN恢复,失败的通信会话也会一直存在,而后的电话通信通过防火墙则不会进行路由选择,直接走原有(失败的,转到公网的)会话,导致电话一直不通,重启防火墙后又恢复正常,遇到这种情况可以添加 “黑洞
TMG 2010 L2tpOverIpsec 安卓设备拨入掉线问题解决
weixin_34297300的博客
08-15 287
大家都知道 微软TMG/ ISA防火墙 支持的×××类型有三种 PPTP ,L2tp/IPsec,及SSTP。虽然SSTP更安全,但PPTP和L2tp/Ipsec为所有异构系统所支持。就安全性来讲PPTP没有安全性可言也为一些ISP所屏蔽,所以L2tp/IPSEC作为一种中和的方案为用户所通用。今天的问题主要就是在安卓设备拨入×××(采用l2tp/ipsec PSK(共享密钥...
两台华为防火墙IPsec连接不稳定原因之一的解决方式
记录博客
12-30 4396
ipsec匹配成功,但是网络访问不稳定,会时不时的断开。
[FortiGate]FGT-VM64-v7.4.2.F-build2571-FORTINET.out.ovf.zip
01-06
FGT_VM64-v7.4.2.F-build2571-FORTINET.out.ovf.zip
FortiGate Security7.0教程-中文
06-11
FortiGate Security7.0教程-中文
FortiGate-VM64-7.2
09-07
官网最新版本FortiGate-VM64-7.2,直接导入VM使用,用户名:admin,无密码。
[FortiGate] FGT-VM64-v7.2.6.F-build1575-FORTINET.out.ovf.zip
01-06
厂家:[FortiGate] 文件名:FGT_VM64-v7.2.6.F-build1575-FORTINET.out.ovf.zip 类型:VMware ESXI ovf部署
fortigate FGTOS,5.2.15-FGT_100D-v5-build0766-FORTINET
09-21
5.2.15-FGT_100D-v5-build0766-FORTINET,
山石与飞塔建立ipsec时候在Phase2丢包处理
weixin_41903258的博客
03-20 562
注意:IPSec 隧道建立后如果 1800 秒的时间内持续有数据传输,阶段 2 将到期执行密钥协商过程;如果 1800 秒的时间内没有数据传输,阶段 2 将停止密钥协商过程,同时 IPSec 隧道也会 down。keylifekbsPhase2流量的关键生命周期字节数(5120 - 4294967295)。飞塔的keylifeseconds 默认为43200,keylifekbs默认为5120。
vowfi中IPSEC port 500、4500端口解释
qq_25467441的博客
08-22 1097
是 Internet Security Association and Key Management Protocol (ISAKMP)刚开始用500,后面对方监测到有NAT,马上就把端口改到4500,同时追加UDP封装到IKE和ESP上面。2.UDP PORT 4500UDP-encapsulated ESP and IKE端口号。关于IPSEC 500、4500端口的问题,经过查阅相关RFC,做以下澄清。标准IPSEC建立过程中,只有500,没有4500
【隧道篇 / IPsec】(7.0) ❀ 05. 阻止IPsec安全隧道连接请求 ❀ FortiGat 防火墙
防火墙技术专栏
04-06 3817
FortiGate设备上默认开放UDP 500端口,允许IPsec隧道连接。但是可能会导致安全漏洞和ISAKMP DOS攻击。ISAKMP DOS攻击会破坏预共享密钥(如果VPN采用激进模式配置),多个请求会导致CPU过载,最终填满所需的缓冲区空间。...
主流隧道穿透协议
HideInTime的博客
11-05 1703
VPN主流分类 基于PPP(点对点通信协议):LCP+NCP(IPCP/IPXCP)+PAP/CHAP PPTP(1723):PPTP认证交互,GRE压缩封装PPP帧 L2TP(1721):L2TP认证交互,L2TPoverUDP封装PPP帧(明文) SSTP(443/不定端口):SSL/TLS认证交互,SSL/TLS封装PPP帧(加密) 基于IPSec网络层的安全体系) IPSec=AH...
IPsec与NAT Traversal(NAT-T)
品学楼A107
09-30 3202
背景 IPsec在两个通信实体之间建立安全的数据传输通道, 但它却与网络中广泛存在的NAT设备(以及PAT)有天生的不兼容性(incompatible)。 我们以一个TCP报文为例来看看在不同IPsec的不同模式(Transport和Tunnel)和协议(AH和ESP)下,这种不兼容是如何发生的。 先来看Transport模式 对AH协议,由于其Authenticate范围是整个IP报文,所以...
机器人“跨协议对话”秘籍:EtherNet IP转PROFINET网关应用实录
最新发布
bjbxkj的博客
04-29 543
由于两种协议在通信标准和数据格式上存在差异,导致机器人手臂无法与现场的终端控制器直接通信,设备之间的数据交换无法顺利进行,严重影响了生产线的整体效率。通过该网关的及时引入,我们避免了大规模设备改造带来的高昂成本和生产延误风险,显著提高了设备协作效率和生产线整体性能,获得了生产部门的一致认可。针对这一问题,我们工程师团队经过详细分析和现场测试,决定采用EtherNet/IP转PROFINET通信协议网关(倍讯BX-606-EIP)来实现快速、稳定的协议转换。接受控制器主动发送的指令及数据请求。
fortigate vxlan sdwan ipsec
12-28
### FortiGate 设备上的 VXLAN、SD-WAN 和 IPSec 配置 #### 1. 创建 VXLAN 接口 为了创建 VXLAN 接口,在 FortiGate 上需进入网络界面并定义新的虚拟接口。 ```bash config system interface edit "vxlan-tunnel" set vdom root set type vxlan set remote-IP> set local-ip <Local-IP> set interface "port1" # 物理端口名称 next end ``` 此命令序列用于指定本地 IP 地址以及远程 IP 地址来构建 VXLAN 隧道[^1]。 #### 2. 设置 SD-WAN 成员和健康检测 接下来,配置 SD-WAN 并加入成员路径。这一步骤涉及设定优先级和服务质量 (QoS),以确保流量按预期分配给不同链路。 ```bash config router sdwan config members edit 1 set interface "pppoe-interface" set priority 50 set health-check "hc_pppoe" next edit 2 set interface "ipsec_tunnel_interface" set priority 70 set health-check "hc_ipsec" next end end ``` 上述脚本设置了两条不同的路径——PPPoE 连接与 IPSec 隧道,并分别为其指定了健康检查机制[^2]。 #### 3. 定义防火墙策略 对于访问控制列表(ACL),即防火墙规则,则应区分内外网请求: 针对外部互联网流量: ```bash config firewall policy edit 1 set srcintf "any" set dstintf "pppoe-interface" set action accept set schedule "always" set service "ALL" set utm-status enable next end ``` 而对公司内部资源的访问则通过 IPSec 隧道转发: ```bash edit 2 set srcintf "internal-network-interface" set dstintf "ipsec_tunnel_interface" set action accept set schedule "always" set service "ALL" set nat enable next ``` 这些设置允许来自特定源接口的数据包仅能经由指定的目的接口传输出去,从而实现了基于目的地址的选择性路由功能。 #### 4. 启用 NAT 转换 当数据流经过私有网络边界时,通常需要启用 Network Address Translation (NAT) 来隐藏真实的内部 IP 地址结构。 ```bash set ip.Pool "ippool-name" set outbound-dnat disable set inbound-snat enable ``` 以上参数调整可以保证从企业内网发出的数据报文能够顺利穿越公共 Internet,同时也保护了内部系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蛋黄酱拌饭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值