Salut à tous,
J’ai un problème pour connecter un FGT-40F à un VPN Watchguard pour bureau distant (BOVPN).
J’ai suivi la documentation de Watchguard pour configurer le tunnel VPN IPSec sur Fortigate :
J’ai essayé quelques dépannages, mais je me demande si il me manque quelque chose d’évident.
Je vois des erreurs dans les logs (nettoyés) :
*** Rapport de diagnostic WG pour la passerelle "11 à 22" ***
Créé le : mar. 4 mars 2025 16:49:31
[Conclusion]
Impossible de trouver une association de sécurité de phase 1 (SA) établie pour l'extrémité de la passerelle BOVPN "11 à 22" #1
Recommandation : Vérifiez les messages de journal VPN pour identifier la raison.
[Résumé de la passerelle]
La passerelle "11 à 22" contient "1" extrémité(s) de passerelle. La version IKE est IKEv2.
Extrémité de passerelle #1 (nom "11 à 22") Activée
PFS : Désactivé ToujoursActif : Désactivé
DPD : Activé GardeActive : Désactivé
ID local<->ID distant : {IP_ADDR(11.11.11.11) <-> IP_ADDR(22.22.22.22)}
IP de la GW locale<->IP de la GW distante : {11.11.11.11 <-> 22.22.22.22}
Interface de sortie : eth0 (ifIndex=4)
marqueif=0x10000
statutLien=0 (0:inconnu, 1:hors-ligne, 2:en ligne)
[Résumé du tunnel]
"1" tunnel(s) trouvé(s) utilisant la passerelle précédente
Nom : "11 à 22" Activé
PFS : "Activé" Groupe DH : "14"
Nombre de propositions : "1"
Proposition "ESP-AES256-SHA256"
ESP :
Algo de chiffrement : "AES" Longueur de clé : "32(bytes)"
Algo d'authentification : "SHA2-256"
Durée de vie : "28800(secondes)" Vie en Ko : "0(Kbytes)"
Nombre de routes de tunnel : "1"
#1
Direction : "BOTH"
"192.168.10.0/24<->192.168.5.0/24"
[Infos en temps réel (IKE_SA de la passerelle)]
Nom : "11 à 22" (Statut : 0x80000001)
IKE SA : "0x0" État : "SA_INIT_I"
Créé le : mar. 4 mars 2025
Mon adresse : 11.11.11.11:500 Adresse du pair : 22.22.22.22:500
Cookie d'initiation : "604e2ccdff4ef868" Cookie de réponse : "0000000000000000"
Durée de vie : "0(secondes)" Byte de vie : "0(kbtyes)" DPD : "Activé"
Numéro de série : 543332
msgIdEnvoyé : 1 msgIdReçu : 0
[Infos en temps réel (IPSEC_SA du tunnel)]
"0" SA IPSEC trouvée(s) sous le tunnel "11 à 22"
[Infos en temps réel (IPSEC_SP du tunnel)]
"1" SP IPSEC trouvé(s) sous le tunnel "11 à 22"
#1
Point d'extrémité du tunnel : "11.11.11.11->22.22.22.22"
Sélecteur du tunnel : 192.168.10.0/24 -> 192.168.5.0/24 Protocole : TOUT
Créé le : mer. 26 févr. 2025 12:26:54
Nom de la passerelle : "11 à 22"
Nom du tunnel : "11 à 22"
[Paires d'adresses dans le pare-feu]
Paires d'adresses pour le tunnel "11 à 22"
[Résultat du vérificateur de politique]
Nom du tunnel : 11 à 22
#1 route de tunnel 192.168.10.0/24<->192.168.5.0/24
Aucun résultat du vérificateur de politique pour ce tunnel (pas de P2SA trouvée ou autre erreur)
[Logs liés]
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) RECEPTION d'un paquet IKE à 11.11.11.11:500 (socket=14 ifIndex=4) de Peer 22.22.22.22:500
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) Message "IKE_SA_INIT response" reçu avec ID de message :0 longueur :416 SPI [i=b17539e47d2fe26a r=e0803126e9f8bd9a]
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) La réponse "IKE_SA_INIT" inclut 5 charges utiles [ SA(taille=48) KE(taille=264) NONCE(taille=20) N(taille=28) N(taille=28)]
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) Politique IKE "11 à 22" reçue de ikeSA(0xde06268)
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) Gestion de la réponse reçue de IKE_SA_INIT - état=SA_INIT_I
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) Le pair est derrière NAT
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) La source n'est PAS derrière NAT
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) ENCR : algorithme ENCR correspondant trouvé : ENCR_AES_CBC avec clé AES de longueur : 256
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) Proposition IKE[#1] correspondant - ENCR_AES_CBC/AUTH_HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/GROUPE_DH14
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) arrêt de l'objet de nouvelle tentative (0xde07e98) pour la requête précédente (nom=IKE_SA_INIT request, msgId=0)
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) NATT : en tant qu'initiateur, nécessité de faire flotter le port UDP (monPort : 500 -> 4500, peerPort : 500 -> 4500), local 0 distant 1
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) Démarrage de l'échange IKE_AUTH. Politique IKE : 11 à 22, code op : 4
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) Le pair n'est pas un appareil WatchGuard et ne supporte pas la négociation SA sans enfant
<155>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) La passerelle distante n'est pas un appareil WatchGuard, ne supporte pas la négociation SA sans enfant.
Terminaison de cette négociation de tunnel et programmation de la renégociation de IKE et de la SA enfant
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) ike2_Start_IkeAuth : lancement du timer “ToujoursActif” (expiration dans 20s) pour ikePcy (11 à 22)
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) Suppression d’ikeSA (obj=0xde06268) état=SA_INIT_I, actions :0x00000000 hardware=11 à 22, auteur=ike2_ProcessData, raison=“échec de l’envoi du message de requête IKE_AUTH”
<158>4 mars 16:49:11 iked[2950]: (11.11.11.11<->22.22.22.22) libération d’ikeSA (obj=0xde06268, état=IKESA_DELETED)