J’ai un Fortigate en local et une passerelle virtuelle Azure configurée avec un VPN Ipsec S2S. J’ai vérifié tout ce que je pouvais penser (règles de pare-feu, NSG, routes, etc.) et cela ne transmet pas de trafic. J’ai passé des heures avec le support Azure et le support Fortinet (parfois lors du même appel) et ils n’ont trouvé aucune solution.
Le tunnel est connecté et le trafic sort mais ne apparaît jamais de l’autre côté. Les captures de paquets ne nous disent rien et je ne sais pas où chercher d’autre.
Quelles autres choses puis-je vérifier ? Ou à ce stade, y a-t-il une autre méthode pour connecter une VM Azure à mon réseau local ? Je suis prêt à payer un outil tiers à ce stade.
Essayer de passer en mode basé sur la politique ou basé sur la route
Que disent les logs ? Que montrent les débogages sur le fortigate ?
Est-ce que votre capture montre un trafic ESP sortant de l’interface externe ?
Route basé avec BGP et une politique IPsec personnalisée est ma méthode préférée.
Route basé avec une politique IPsec personnalisée serait ma seconde préférence.
Au minimum, il semble que la phase 1 soit établie, il est possible que la phase 2 échoue pour une raison quelconque.
La politique IPsec par défaut accepte une large gamme d’options pour la phase 1 et la phase 2, mais peut entraîner des re clés étranges et d’autres problèmes.
Si vous DEVEZ utiliser des sélecteurs de trafic personnalisés, Azure doit être l’initiateur du tunnel. Régler à nouveau l’initiateur ou le répondeur dans la configuration/politique IPsec personnalisée sur les DEUX côtés facilitera la vie, ainsi que le chiffrement/authentification/encryption.
Vous pouvez faire une capture depuis la passerelle VPN dans le portail maintenant.
C’est beaucoup plus simple d’utiliser des VPN basés sur la route pour Azure.
Je viens de faire cela et je n’ai pas vu de changement, mais je ne suis pas convaincu que le passage au mode basé sur la politique ait été bien fait de mon côté ?
Le débogage sur le fortigate semble correct. Il montre que les paquets sont envoyés et qu’il n’y a aucun problème.
J’ai configuré tout cela conformément à la documentation Azure et Fortigate.
Je ne suis pas sûr pour ESP, c’est le 4500 ? Je vois du trafic 500 entre les deux sites, le tunnel est opérationnel.
La capture dans la passerelle VPN ne montre rien d’inbound. J’ai configuré les deux côtés comme initiateurs. Je pensais que c’était la meilleure configuration.
Je suis d’accord, la phase 2 pourrait poser problème et j’ai essayé plusieurs choses, mais je ne suis pas ingénieur réseau, donc je ne comprends pas tout.
Mise à jour : pas de BGP configuré pour le local, donc ça ne fonctionnera pas.
Les VPN basés sur la route toujours !!! 
As-tu essayé la capture via l’interface WAN ? Vois-tu du trafic ESP atteignant ton fortigate depuis l’IP publique de l’autre extrémité du tunnel ?
Cela m’a semblé similaire à un problème que j’avais avec un ASA et un dispositif tiers. Bien que le VPN point à point ait été actif et que les SA soient en place, le trafic ESP ne traversait pas l’interface externe de l’ASA parce que la route par défaut dirigeait tout vers l’interface du tunnel.
ESP est le protocole IP 50. Ce n’est pas UDP comme 500 ou 4500. Ceux-là servent à IKE et NAT traversal.
Si les deux côtés sont définis comme Initiateur, aucun ne répondra.
Configure le côté distant pour répondre.
Configure Azure pour Initiateur et tu as la phase 1 établie.
Le seul trafic enregistré en PCAP est UDP 500, ce qui montre que le tunnel est actif. Rien d’autre.
Je pense que c’est IKE. Tu veux voir le protocole IP 50 si le tunnel est réellement actif, ce qui indiquerait un trafic ESP. Peut-être que votre tunnel ne passe pas la phase 1 ?