将基于 IBM 策略的 VPN 连接到 FortiGate 同级

选择 VPN > IPsec 隧道，然后创建新的自定义隧道或编辑现有隧道。

当 FortiGate VPN 从 VPN for VPC接收连接请求时，FortiGate 使用 IPsec 阶段 1 参数来建立安全连接并认证 VPN for VPC。 然后，如果安全策略允许连接，FortiGate VPN 就会使用 IPsec 第 2 阶段参数建立隧道，并应用 IPsec 安全策略。 密钥管理、认证和安全服务均通过 IKE 协议动态协商。

要支持这些功能，必须对 FortiGate VPN 执行以下一般配置步骤：

• 定义 FortiGate VPN 验证 VPN for VPC 和建立安全连接所需的第 1 阶段参数。
• 定义 FortiGate VPN 创建 VPN 通道所需的第 2 阶段参数，VPN for VPC。
• 创建安全策略，用于控制 IP 源地址与目标地址之间允许的服务和允许的流量方向。

配置示例如下

1. 在身份验证中选择 IKEv2。
2. 在第一阶段提案中启用 DH-group 19。
3. 在第 1 阶段提案中设置 lifetime = 36000。
4. 在第二阶段建议中禁用 PFS。
5. 在第 2 阶段提案中设置 lifetime = 10800。
6. 在第 2 阶段输入子网信息。
7. 其余参数保留其缺省值。

将基于路由的 IBM 静态 VPN 连接到 FortiGate 同级

以下步骤演示了如何将 IBM 静态、基于路由的 VPN 连接到 FortiGate 对等网络。

1. 要配置主隧道，请选择 VPN> IPsec 隧道 并创建新的定制模板类型隧道，或者编辑现有隧道。

   

2. 要配置主隧道的对等 IP，请使用基于 IBM 路由的 VPN 网关的小型公共 IP 地址作为远程网关 IP 地址。

   有关小型公共 IP 的更多信息，请参阅此 重要声明。 另外，请记住，在某些情况下，当您配置 Fortigate 对等设备时，请将 NAT 穿越选项设置为强制，而不是启用，以避免出现数据包丢弃问题。

   

3. 要配置 IKE 建议，请使用匹配的 IKE 版本和建议。

   

4. 要配置 IPsec 建议，请使用匹配的 IPsec 建议。

   

当您将 FortiGate 连接到第三方 VPN 对等设备时，如果本地 ID 以错误的格式发送，第一阶段身份验证可能会失败。 默认情况下，即使配置了 IP 地址，FortiGate 也会以完全合格域名 (FQDN) 的形式发送本地 ID。 不过，有些第三方 VPN 网关希望使用 IP 地址格式的本地 ID。 身份类型不匹配可能导致 VPN 隧道失败，并显示错误：AUTHENTICATION_FAILED。 在对等端，日志可能会显示以下错误：Failed to locate an item in the database – Peer identity type is FQDN.

要解决此错误，请使用 FortiGate CLI，将 localid-type 设置为 address，将 localid 设置为 FortiGate 公共 IP。

config vpn ipsec phase1-interface
    edit <tunnel_name>
        set localid-type address
        set localid <your FortiGate public IP>
    next
end