將 IBM 原則型 VPN 連接至 FortiGate 對等節點

選取 VPN > IPsec 通道並建立新的自訂通道，或編輯現有的通道。

當 FortiGate VPN 收到來自 VPN for VPC的連線要求時，FortiGate 會使用 IPsec「階段 1」參數來建立安全連線，並鑑別 VPN for VPC。 然後，如果安全政策允許連線，FortiGate VPN 就會使用 IPsec Phase 2 參數建立隧道，並套用 IPsec 安全政策。 金鑰管理、鑑別及安全服務會透過 IKE 通訊協定動態協議。

要支援這些功能，必須針對 FortiGate VPN 執行下列一般設定步驟：

• 定義 FortiGate VPN 認證 VPN for VPC 和建立安全連線所需的第 1 階段參數。
• 定義 FortiGate VPN 與 VPN for VPC 建立 VPN 通道所需的第 2 階段參數。
• 建立安全原則來控制所允許的服務，以及 IP 來源與目的地位址之間的資料流量的允許方向。

配置範例如下：

1. 在驗證中選擇 IKEv2。
2. 在第一階段提案中啟用 DH-group 19。
3. 在第一階段提案中設定 lifetime = 36000。
4. 在第二階段提案中停用 PFS。
5. 在第二階段提案中設定 lifetime = 10800。
6. 在 Phase 2 中輸入您的子網路資訊。
7. 其餘參數會保留其預設值。

將 IBM 靜態路由型 VPN 連接至 FortiGate 對等節點

以下是如何將 IBM 靜態路由型 VPN 連接至 FortiGate 對等節點的範例。

1. 若要配置主要通道，請選取 VPN> IPsec 通道，並建立新的自訂範本類型通道，或編輯現有的通道。

   

2. 若要配置主要通道的對等節點 IP，請使用 IBM 路由型 VPN 閘道的小型公用 IP 位址作為遠端閘道 IP 位址。

   如需小型公用 IP 的相關資訊，請參閱此 重要注意事項。

   

3. 如果要配置 IKE 提案，請使用相符的 IKE 版本和提案。

   

4. 若要配置 IPsec 提案，請使用相符的 IPsec 提案。

   

當連線 FortiGate 到第三方 VPN 對等體，如果本機 ID 以錯誤的格式傳送，第一階段驗證可能會失敗。 預設情況下，即使設定了 IP 位址，FortiGate 也會以完全合格網域名稱 (FQDN) 的形式傳送本機 ID。 不過，有些第三方 VPN 閘道會以 IP 位址格式來取代本機 ID。 身份類型不匹配可能會導致 VPN 通道失敗，並顯示錯誤：AUTHENTICATION_FAILED。 在對等端，日誌可能會顯示以下錯誤：Failed to locate an item in the database – Peer identity type is FQDN.

若要解決此錯誤，請使用 FortiGate CLI 並將 localid-type 設定為 address，將 localid 設定為 FortiGate 公共 IP。

config vpn ipsec phase1-interface
    edit <tunnel_name>
        set localid-type address
        set localid <your FortiGate public IP>
    next
end