Проблема с туннелем IPSec: несовместимость FortiGate и Cisco ASA Phase 2

MD Irshad Ansari

Привет всем!
Недавно, настраивая VPN между брандмауэром FortiGate и Cisco ASA, я столкнулся с интересной проблемой: фаза 1 IPSec-туннеля работала, но фаза 2 не устанавливалась. ![:backhand_index_pointing_right:]
Основная причина: несовместимые
алгоритмы
шифрования/аутентификации
.
Я решил эту проблему, согласовав предложения фазы 2 (AES-256/SHA256) на обоих устройствах. ![]
Мой вопрос к сообществу: Кто-нибудь сталкивался с подобными проблемами несовместимости фазы 2 между межсетевыми экранами разных производителей?
Вы предпочитаете устанавливать настройки по умолчанию или явно указывать параметры фазы 2? Жду ваших отзывов

Rob Ingram

Привет,
@MD Irshad Ansari
. VPN с несколькими поставщиками обычно доставляют много хлопот. Я бы рекомендовал всегда явно настраивать протоколы IKE/IPSec, а не использовать настройки по умолчанию поставщика, чтобы обеспечить использование самого надежного шифрования. Возможно, один поставщик использовал AES-256 (cbc), а другой — AES-256 (gcm). Эти протоколы различаются и должны совпадать.

MD Irshad Ansari

Привет, Роб, Большое спасибо за подробное объяснение. Вы абсолютно правы — при использовании VPN от разных поставщиков использование настроек по умолчанию обычно приводит к несоответствиям. В моем случае FortiGate использовал
AES-256 (cbc)
, а Cisco ASA ожидал
AES-256 (gcm)
, поэтому переговоры фазы 2 завершались неудачей. После явного определения
AES-256/SHA256
на
обоих концах туннель был успешно установлен. В будущем я обязательно буду следовать твоему совету и всегда явно определять предложения IKE/IPSec, а не полагаться на настройки по умолчанию. Благодарю вас за помощь и опыт.