Hallo zusammen,
ich versuche derzeit ein Site 2 Site VPN Tunnel zwischen einem Lancom Router und einer Fortigate zu konfigurieren.
Allerdings schaffe ich es nicht das die beiden Geräte sich verbinden. Der Lancom Syslog zeigt mir immer einen IKE Timeout Fehler an und die Fortigate liefert keinerlei Logeinträge.
Hat jemand hier im Forum schon einmal erfolgreich einen IKEv2 Tunnel konfiguriert und hat vielleicht einen Tip was ich noch einstellen muss damit das funktioniert?
Vielen Dank und Grüße
Marco
Site 2 Site IKE2 VPN Lancom Fortigate
Moderator: Lancom-Systems Moderatoren
-
zickzack111
- Beiträge: 23
- Registriert: 09 Apr 2017, 15:49
Re: Site 2 Site IKE2 VPN Lancom Fortigate
Gegenfrage: Was hast du denn bisher konfiguriert.
IKE-Timeout heißt, dass die Gegenseite gar nicht reagiert, also der Initiator nutzt die falsche IP, den falschen Port, die Gegenseite nimmt keine Verbindungen an oder zwischendrin filtert irgendetwas.
Ja, ich habe LANCOM zu Fortinet (wie zu vielen anderen FW-Herstellern auch) aktiv und stabil im Betrieb.
IKE-Timeout heißt, dass die Gegenseite gar nicht reagiert, also der Initiator nutzt die falsche IP, den falschen Port, die Gegenseite nimmt keine Verbindungen an oder zwischendrin filtert irgendetwas.
Ja, ich habe LANCOM zu Fortinet (wie zu vielen anderen FW-Herstellern auch) aktiv und stabil im Betrieb.
LCS NC/WLAN
-
zickzack111
- Beiträge: 23
- Registriert: 09 Apr 2017, 15:49
Re: Site 2 Site IKE2 VPN Lancom Fortigate
Hallo 5624,
ich habe es auch nach weiteren 1,5 Stunden nicht geschafft das sich der Lancom mit der Forti verbindet.
An der gleichen Fortigate ist eine Watchguard und ein Forticlient erfolgreich über IPsec verbunden, damit sollte das Wan soweit passen.
Ich habe bisher folgendes konfiguriert/versucht:
Fortigate:
einen neuen IPsec Custom Tunnel angelegt.
Fqdn des Lancom hinterlegt
NAT Traversal aktiviert (auch mit forced und off probiert)
Einen Preshared Key definiert
Version 2
Phase 1 AES256 und SHA265 Goup 20 definiert (andere gehen auch nicht)
Phase 2 Addressgroup lokal und remote definiert (routed geht auch nicht)
Encyption AES256 und Group 20 definiert (andere gehen auch nicht)
Passende Firewall Regeln definiert und Route für das Lancom Netzwerk hinterlegt
Lancom:
eine VPN Site 2 Site Verbindung mit dem Wizard angelegt, Lancom ist Initiator
Diese Verbindung dann manuel angepasst (Authentifizierung und Verschlüsselung)
Erlaubte DH Gruppen = 20
PFS= JA
IKE-SA= AES-CBD-256
Hash= SHA-256
Child SA=AES-CBA-256
Hash=SHA-256
Authentifizierung:
PSK
Lokales und Entferntes Password = Key der Fortigate
Lokale und Entfernete Identität = Ohne (auch mit fqdn versucht)
Testweise habe ich noch unter Gültigkeitsdauer die Werte der IKE SA und Child SA an die Werte der Fortigate angepasst. Auch ohne Erfolg
Der Lancom Syslog meckert über einen Timeout und falsche Negotiation in Phase1
Auf der Forti gibt es keine Logeinträge für diese Site 2 Site Verbindung
Hast du noch einen Tipp für mich, was ich übersehen habe und wo sich der "goldene" Haken befindet den ich vergessen habe.
Danke und viele Grüße
Marco
ich habe es auch nach weiteren 1,5 Stunden nicht geschafft das sich der Lancom mit der Forti verbindet.
An der gleichen Fortigate ist eine Watchguard und ein Forticlient erfolgreich über IPsec verbunden, damit sollte das Wan soweit passen.
Ich habe bisher folgendes konfiguriert/versucht:
Fortigate:
einen neuen IPsec Custom Tunnel angelegt.
Fqdn des Lancom hinterlegt
NAT Traversal aktiviert (auch mit forced und off probiert)
Einen Preshared Key definiert
Version 2
Phase 1 AES256 und SHA265 Goup 20 definiert (andere gehen auch nicht)
Phase 2 Addressgroup lokal und remote definiert (routed geht auch nicht)
Encyption AES256 und Group 20 definiert (andere gehen auch nicht)
Passende Firewall Regeln definiert und Route für das Lancom Netzwerk hinterlegt
Lancom:
eine VPN Site 2 Site Verbindung mit dem Wizard angelegt, Lancom ist Initiator
Diese Verbindung dann manuel angepasst (Authentifizierung und Verschlüsselung)
Erlaubte DH Gruppen = 20
PFS= JA
IKE-SA= AES-CBD-256
Hash= SHA-256
Child SA=AES-CBA-256
Hash=SHA-256
Authentifizierung:
PSK
Lokales und Entferntes Password = Key der Fortigate
Lokale und Entfernete Identität = Ohne (auch mit fqdn versucht)
Testweise habe ich noch unter Gültigkeitsdauer die Werte der IKE SA und Child SA an die Werte der Fortigate angepasst. Auch ohne Erfolg
Der Lancom Syslog meckert über einen Timeout und falsche Negotiation in Phase1
Auf der Forti gibt es keine Logeinträge für diese Site 2 Site Verbindung
Hast du noch einen Tipp für mich, was ich übersehen habe und wo sich der "goldene" Haken befindet den ich vergessen habe.
Danke und viele Grüße
Marco