pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » fortinet » vpn
Trace:
informatique:fortinet:vpn

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
informatique:fortinet:vpn [2016/08/26 13:16] – [Vérifications] pteuinformatique:fortinet:vpn [2019/02/25 11:20] (current) – [Vérifications] pteu
Line 8: Line 8:
  
 Il existe 2 principes d'établissement de tunnel VPN chez Fortinet : Il existe 2 principes d'établissement de tunnel VPN chez Fortinet :
-  * **Route-based VPN** (phase1-interface) aussi appelé interface-based VPN : Il créer une sous-itf réseau virtuelle ; le trafic est orienté dans le tunnel VPN en fonction de la table de routage. Une route statique avec comme nexthop l'interface tunnel encapsulera le flux dans le tunnel VPN. L'autorisation de traverser le Firewall sera faite par les règles de sécurité comme pour un flux standard.\\+  * **Route-based VPN** (phase1-interface) aussi appelé **interface-based** VPN : Il créer une sous-interface réseau virtuelle ; le trafic est orienté dans le tunnel VPN en fonction de la table de routage. Une route statique avec comme nexthop l'interface tunnel encapsulera le flux dans le tunnel VPN. L'autorisation de traverser le firewall sera contrôlée par les règles de sécurité comme pour un flux standard.\\
 Ce type de VPN ne montera pas s'il n'y a pas de règle de sécurité acceptant du trafic depuis et vers l'interface tunnel, et affichera le message d'erreur "ignoring ike request, no policy configured" dans un debug. Ce type de VPN ne montera pas s'il n'y a pas de règle de sécurité acceptant du trafic depuis et vers l'interface tunnel, et affichera le message d'erreur "ignoring ike request, no policy configured" dans un debug.
-  * **Policy Based VPN** : Le trafic est orienté dans le tunnel VPN en fonction des règles de la politique de sécurité. Ces règles auront comme action "ipsec" et devront être définies de manière identique sur les deux Gateway terminant le tunnel VPN car elles participent à l'ouverture de celui-ci (Phase 2). Seul le trafic correspondant aux critères de la police sera encapsulé dans le tunnel VPN.+  * **Policy Based VPN** (ou **tunnel-based**) : Le trafic est orienté dans le tunnel VPN en fonction des règles de la politique de sécurité. Ces règles auront comme action "ipsec" et devront être définies de manière identique sur les deux Gateway terminant le tunnel VPN car elles participent à l'ouverture de celui-ci (Phase 2). Seul le trafic correspondant aux critères de la police sera encapsulé dans le tunnel VPN.
  
 source : http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/Overview.109.5.html source : http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/Overview.109.5.html
Line 95: Line 95:
 get vpn ipsec tunnel summary get vpn ipsec tunnel summary
  
-# 2 commande ressemblantes affichant l'utilisation des algorithmes+# afficher les drivers de chiffrement utilisés 
 +diagnose vpn ipsec driver 
 +# afficher la répartition du traitement IPSec sur les CPUs 
 +diagnose vpn ipsec cpu 
 + 
 +# 2 commandes ressemblantes affichant l'utilisation des algorithmes
 # de chiffrement par mode de traitement (software-CPU / hardware-NPU (offloading)) # de chiffrement par mode de traitement (software-CPU / hardware-NPU (offloading))
 get vpn ipsec stats crypto get vpn ipsec stats crypto
Line 117: Line 122:
  
 =====Debug/Troubleshoot===== =====Debug/Troubleshoot=====
 +
 +NB : ne pas oublier qu'un tunnel ne montera __que__ si au moins une règle de sécurité le matche, sur le firewall du Fortigate. Si ce n'est pas le cas, le Fortigate fautif se trahira en affichant :
 +<code bash>
 +2018-12-03 11:29:25 ike 3:tunnel-noob: ignoring IKE request, no policy configured
 +</code>
  
 <code bash> <code bash>
Line 126: Line 136:
 diagnose debug console timestamp en diagnose debug console timestamp en
 diagnose debug application ike -1 diagnose debug application ike -1
-# filtrage en fonction de la remote-gw (l'IP du peer) 
 diagnose vpn ike log-filter dst-addr4 10.10.10.1 diagnose vpn ike log-filter dst-addr4 10.10.10.1
  
Line 152: Line 161:
 =====Divers===== =====Divers=====
  
-  * Tutoriel pour activer/désactiver l'accélération hardware (offloading) : [[http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/NP4.077.10.html|Configuration VPN IPsec accélérée NP4 IPsec VPN offloading configuration example]]+====Offloading==== 
 + 
 +[[informatique:fortinet:offloading|voir la page dédiée sur ce wiki]]
  
 ====Créer 2 tunnels vers le même host==== ====Créer 2 tunnels vers le même host====
Line 180: Line 191:
       set local-gw IP4       set local-gw IP4
       next       next
 +</code>
 +
 +====Supprimer les logs "tunnel-stats"====
 +
 +Le FortiAnalyzer utiliser les messages ''action=tunnel-stats'' pour afficher des statistiques sur les tunnel IPSec/SSL/etc ; si on ne se sert pas de cet outil et qu'on veut éviter de polluer nos logs, on peut les limiter ainsi :
 +<code bash>
 +config system settings
 +    set vpn-stats-log l2tp
 +    set vpn-stats-period 86400
 +end
 </code> </code>
informatique/fortinet/vpn.1472217362.txt.gz · Last modified: 2016/08/26 13:16 by pteu