Привет всем!
Недавно, настраивая VPN между брандмауэром FortiGate и Cisco ASA, я столкнулся с интересной проблемой: фаза 1 IPSec-туннеля работала, но фаза 2 не устанавливалась. ![:backhand_index_pointing_right:]
Основная причина: несовместимые
алгоритмы
шифрования/аутентификации
.
Я решил эту проблему, согласовав предложения фазы 2 (AES-256/SHA256) на обоих устройствах. ![]
Мой вопрос к сообществу: Кто-нибудь сталкивался с подобными проблемами несовместимости фазы 2 между межсетевыми экранами разных производителей?
Вы предпочитаете устанавливать настройки по умолчанию или явно указывать параметры фазы 2? Жду ваших отзывов

]]>https://sla247.ru/forum/topic/2399/проблема-с-туннелем-ipsec-несовместимость-fortigate-и-cisco-asa-phase-2RSS for NodeFri, 15 May 2026 10:27:12 GMTMon, 02 Mar 2026 12:42:29 GMT60Привет, Роб, Большое спасибо за подробное объяснение. Вы абсолютно правы — при использовании VPN от разных поставщиков использование настроек по умолчанию обычно приводит к несоответствиям. В моем случае FortiGate использовал
AES-256 (cbc)
, а Cisco ASA ожидал
AES-256 (gcm)
, поэтому переговоры фазы 2 завершались неудачей. После явного определения
AES-256/SHA256
на
обоих концах туннель был успешно установлен. В будущем я обязательно буду следовать твоему совету и всегда явно определять предложения IKE/IPSec, а не полагаться на настройки по умолчанию. Благодарю вас за помощь и опыт.

]]>https://sla247.ru/forum/post/16839https://sla247.ru/forum/post/16839Mon, 02 Mar 2026 12:42:31 GMTПривет,
@MD Irshad Ansari
. VPN с несколькими поставщиками обычно доставляют много хлопот. Я бы рекомендовал всегда явно настраивать протоколы IKE/IPSec, а не использовать настройки по умолчанию поставщика, чтобы обеспечить использование самого надежного шифрования. Возможно, один поставщик использовал AES-256 (cbc), а другой — AES-256 (gcm). Эти протоколы различаются и должны совпадать.

]]>https://sla247.ru/forum/post/16838https://sla247.ru/forum/post/16838Mon, 02 Mar 2026 12:42:30 GMT