Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Le 06/01/2017 à 13:40, Louis a écrit : De mémoire, on peut forcer le proxy-id en cli sur le fortigate. en effet : config vpn ipsec phase2-interface edit "A" set phase1name "A" set proposal aes256-sha256 set src-subnet 1.2.3.0 255.255.255.0 set dst-subnet 4.5.6.0 255.255.255.0 next end --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Pas tout-à-fait, c'est possible également en GUI. Quelques lignes de commandes utiles sur le Fortigate, qui pourront te montrer la négociation: #diag deb en #diag deb app ike -1 C'est assez verbeux par contre, mais tu devrais voir l'erreur remonter... Autre chose : une bonne méthodologie à ne pas oublier est de lancer les commandes sur le Forti (pense à logger la sortie SSH! :) ) et de tenter de monter le VPN via le poste linux. Sinon, en terme de config, tu as testé celle-là ? http://kb.fortinet.com/kb/documentLink.do?externalID=FD37618 Michael -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Louis Envoyé : vendredi 6 janvier 2017 13:41 À : Servan Jouan Cc : David Ponzone ; Choukou Moun ; frnog-tech Objet : Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server De mémoire, on peut forcer le proxy-id en cli sur le fortigate. Le 6 janvier 2017 à 13:21, Servan Jouan a écrit : > Bonjour Choukou Moun, > > J'ai régulièrement eu des problèmes entre les Fortigate et les autres > marques. Souvent le problème vient des "proxy-id", il me semble que > fortigate le calcul automatiquement en fonction des réseaux > "associés" au tunnel contrairement aux autres marques ou ils sont > explicitement indiqués. > Ce n'est valable que si tu as plusieurs subnets... > > Je ne promets rien, mais c'est une piste ;) > > Servan. > > > Le 6 janvier 2017 à 12:30, David Ponzone a > écrit : > >> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) >> >> > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : >> > >> > Bonjour à tous >> > >> > out d'abord je vous souhaite une excellente année 2017 en >> > espérant qu'elle sera meilleur que cette année 2016. >> > >> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un >> > Fortigate. >> > >> > J'ai l'impression que c'est moi qui a un problème mais je pense que >> > ce n'est pas possible. >> > >> > SI vous avez des pistes je suis preneur merci. >> > >> > MAZ >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > Le 6 janvier 2017 à 12:30, David Ponzone a > écrit : > >> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) >> >> > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : >> > >> > Bonjour à tous >> > >> > out d'abord je vous souhaite une excellente année 2017 en >> > espérant qu'elle sera meilleur que cette année 2016. >> > >> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un >> > Fortigate. >> > >> > J'ai l'impression que c'est moi qui a un problème mais je pense que >> > ce n'est pas possible. >> > >> > SI vous avez des pistes je suis preneur merci. >> > >> > MAZ >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
De mémoire, on peut forcer le proxy-id en cli sur le fortigate. Le 6 janvier 2017 à 13:21, Servan Jouan a écrit : > Bonjour Choukou Moun, > > J'ai régulièrement eu des problèmes entre les Fortigate et les autres > marques. Souvent le problème vient des "proxy-id", il me semble que > fortigate le calcul automatiquement en fonction des réseaux "associés" au > tunnel contrairement aux autres marques ou ils sont explicitement indiqués. > Ce n'est valable que si tu as plusieurs subnets... > > Je ne promets rien, mais c'est une piste ;) > > Servan. > > > Le 6 janvier 2017 à 12:30, David Ponzone a > écrit : > >> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) >> >> > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : >> > >> > Bonjour à tous >> > >> > out d'abord je vous souhaite une excellente année 2017 en espérant >> > qu'elle sera meilleur que cette année 2016. >> > >> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un >> > Fortigate. >> > >> > J'ai l'impression que c'est moi qui a un problème mais je pense que ce >> > n'est pas possible. >> > >> > SI vous avez des pistes je suis preneur merci. >> > >> > MAZ >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > Le 6 janvier 2017 à 12:30, David Ponzone a > écrit : > >> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) >> >> > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : >> > >> > Bonjour à tous >> > >> > out d'abord je vous souhaite une excellente année 2017 en espérant >> > qu'elle sera meilleur que cette année 2016. >> > >> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un >> > Fortigate. >> > >> > J'ai l'impression que c'est moi qui a un problème mais je pense que ce >> > n'est pas possible. >> > >> > SI vous avez des pistes je suis preneur merci. >> > >> > MAZ >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Bonjour Choukou Moun, J'ai régulièrement eu des problèmes entre les Fortigate et les autres marques. Souvent le problème vient des "proxy-id", il me semble que fortigate le calcul automatiquement en fonction des réseaux "associés" au tunnel contrairement aux autres marques ou ils sont explicitement indiqués. Ce n'est valable que si tu as plusieurs subnets... Je ne promets rien, mais c'est une piste ;) Servan. Le 6 janvier 2017 à 12:30, David Ponzone a écrit : > Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) > > > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : > > > > Bonjour à tous > > > > out d'abord je vous souhaite une excellente année 2017 en espérant > > qu'elle sera meilleur que cette année 2016. > > > > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un > > Fortigate. > > > > J'ai l'impression que c'est moi qui a un problème mais je pense que ce > > n'est pas possible. > > > > SI vous avez des pistes je suis preneur merci. > > > > MAZ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > Le 6 janvier 2017 à 12:30, David Ponzone a écrit : > Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) > > > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : > > > > Bonjour à tous > > > > out d'abord je vous souhaite une excellente année 2017 en espérant > > qu'elle sera meilleur que cette année 2016. > > > > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un > > Fortigate. > > > > J'ai l'impression que c'est moi qui a un problème mais je pense que ce > > n'est pas possible. > > > > SI vous avez des pistes je suis preneur merci. > > > > MAZ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : > > Bonjour à tous > > out d'abord je vous souhaite une excellente année 2017 en espérant > qu'elle sera meilleur que cette année 2016. > > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un > Fortigate. > > J'ai l'impression que c'est moi qui a un problème mais je pense que ce > n'est pas possible. > > SI vous avez des pistes je suis preneur merci. > > MAZ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Bonjour à tous out d'abord je vous souhaite une excellente année 2017 en espérant qu'elle sera meilleur que cette année 2016. J'essai de monter un lien IPsec entre un serveur Linux IPsec et un Fortigate. J'ai l'impression que c'est moi qui a un problème mais je pense que ce n'est pas possible. SI vous avez des pistes je suis preneur merci. MAZ --- Liste de diffusion du FRnOG http://www.frnog.org/