Differences

This shows you the differences between two versions of the page.

--- informatique:fortinet:vpn [2016/01/08 16:02] – créer 2 tunnels vers le même host pteu
+++ informatique:fortinet:vpn [2019/02/25 11:20] (current) – [Vérifications] pteu
@@ Line 8: / Line 8: @@
 Il existe 2 principes d'établissement de tunnel VPN chez Fortinet :
-  * **Route-based VPN** (phase1-interface) aussi appelé interface-based VPN : Il créer une sous-itf réseau virtuelle ; le trafic est orienté dans le tunnel VPN en fonction de la table de routage. Une route statique avec comme nexthop l'interface tunnel encapsulera le flux dans le tunnel VPN. L'autorisation de traverser le Firewall sera faite par les règles de sécurité comme pour un flux standard.\\
+  * **Route-based VPN** (phase1-interface) aussi appelé **interface-based** VPN : Il créer une sous-interface réseau virtuelle ; le trafic est orienté dans le tunnel VPN en fonction de la table de routage. Une route statique avec comme nexthop l'interface tunnel encapsulera le flux dans le tunnel VPN. L'autorisation de traverser le firewall sera contrôlée par les règles de sécurité comme pour un flux standard.\\
 Ce type de VPN ne montera pas s'il n'y a pas de règle de sécurité acceptant du trafic depuis et vers l'interface tunnel, et affichera le message d'erreur "ignoring ike request, no policy configured" dans un debug.
-  * **Policy Based VPN** : Le trafic est orienté dans le tunnel VPN en fonction des règles de la politique de sécurité. Ces règles auront comme action "ipsec" et devront être définies de manière identique sur les deux Gateway terminant le tunnel VPN car elles participent à l'ouverture de celui-ci (Phase 2). Seul le trafic correspondant aux critères de la police sera encapsulé dans le tunnel VPN.
+  * **Policy Based VPN** (ou **tunnel-based**) : Le trafic est orienté dans le tunnel VPN en fonction des règles de la politique de sécurité. Ces règles auront comme action "ipsec" et devront être définies de manière identique sur les deux Gateway terminant le tunnel VPN car elles participent à l'ouverture de celui-ci (Phase 2). Seul le trafic correspondant aux critères de la police sera encapsulé dans le tunnel VPN.
 source : http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/Overview.109.5.html
@@ Line 89: / Line 89: @@
 Voir l'état courant en CLI (en GUI on peut aller dans le sous-menu "Monitoring" du menu "VPN" ou consulter les logs dans "Log & Reports > Event log > VPN")
 <code bash>
+# infos détaillées sur un tunnel :
 get vpn ipsec tunnel details
+diagnose vpn tunnel list [ name <nom_du_tunnel> ]
-get vpn ipsec tunnel summary | grep 00004600H3_P1DA
+get vpn ipsec tunnel summary
+# afficher les drivers de chiffrement utilisés
+diagnose vpn ipsec driver
+# afficher la répartition du traitement IPSec sur les CPUs
+diagnose vpn ipsec cpu
+# 2 commandes ressemblantes affichant l'utilisation des algorithmes
+# de chiffrement par mode de traitement (software-CPU / hardware-NPU (offloading))
 get vpn ipsec stats crypto
-# affiche l'utilisation des algorithmes de chiffrement par mode de traitement (software-CPU / hardware-NPU)
 diagnose vpn ipsec status
-diagnose vpn tunnel list
-diagnose vpn tunnel list name "tun-CC"
-diagnose vpn ike errors
 diagnose vpn tunnel stat
@@ Line 107: / Line 109: @@
 # afficher tous les tunnel UP (qui ont des SA)
 diagnose vpn tunnel dumpsa
+# coupé ou lancer le tunnel IPSec spécifié
+diagnose vpn tunnel [ up | down ] phase2-itf-name
+# supprimer les SAs d'un tunnel
+diagnose vpn tunnel flush tunnel-name
+# supprimer les SAs d'un tunnel + reseter la conf NAT-T et DPD
+diagnose vpn tunnel reset tunnel-name
+diagnose vpn ike errors
 </code>
 =====Debug/Troubleshoot=====
+NB : ne pas oublier qu'un tunnel ne montera __que__ si au moins une règle de sécurité le matche, sur le firewall du Fortigate. Si ce n'est pas le cas, le Fortigate fautif se trahira en affichant :
+<code bash>
+-12-03 11:29:25 ike 3:tunnel-noob: ignoring IKE request, no policy configured
+</code>
 <code bash>
@@ Line 119: / Line 136: @@
 diagnose debug console timestamp en
 diagnose debug application ike -1
-# filtrage en fonction de la remote-gw (l'IP du peer)
 diagnose vpn ike log-filter dst-addr4 10.10.10.1
@@ Line 132: / Line 148: @@
 diagnose debug application ike 0
 diagnose vpn ike log-filter clear
+</code>
+Supprimer une SA :
+<code bash>
+diagnose vpn tunnel flush tun-CT-extra
 </code>
@@ Line 140: / Line 161: @@
 =====Divers=====
-  * Tutoriel pour activer/désactiver l'accélération hardware (offloading) : [[http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/NP4.077.10.html|Configuration VPN IPsec accélérée : NP4 IPsec VPN offloading configuration example]]
+====Offloading====
+[[informatique:fortinet:offloading|voir la page dédiée sur ce wiki]]
 ====Créer 2 tunnels vers le même host====
@@ Line 168: / Line 191: @@
       set local-gw IP4
       next
+</code>
+====Supprimer les logs "tunnel-stats"====
+Le FortiAnalyzer utiliser les messages ''action=tunnel-stats'' pour afficher des statistiques sur les tunnel IPSec/SSL/etc ; si on ne se sert pas de cet outil et qu'on veut éviter de polluer nos logs, on peut les limiter ainsi :
+<code bash>
+config system settings
+    set vpn-stats-log l2tp
+    set vpn-stats-period 86400
+end
 </code>