Salut tout le monde,
je rencontre un problème pour connecter un Fortigate 40F à un VPN de succursale Watchguard (BOVPN).
J’ai suivi la documentation de Watchguard pour la configuration du tunnel VPN IPSec sur Fortigate :
J’ai essayé de faire du dépannage, mais je me demande si je oublie quelque chose d’évident.
Je vois des erreurs dans les logs (nettoyés) :
*** Rapport diagnostique WG pour la passerelle "11 vers 22" ***
Créé le : Mar 4 Mar 2025 16:49:31
[Conclusion]
Impossible de trouver une association de sécurité de Phase 1 (SA) établie pour la passerelle BOVPN (11 vers 22) à l'extrémité #1
Recommandation : Vérifiez les messages du journal VPN pour identifier la cause.
[Résumé de la passerelle]
La passerelle "11 vers 22" contient "1" extrémité(s) de passerelle. La version IKE est IKEv2.
Extrémité de passerelle #1 (nom "11 vers 22") Activée
PFS : Désactivé AlwaysUp : Désactivé
DPD : Activé Keepalive : Désactivé
ID local <-> ID distant : {IP_ADDR(11.11.11.11) <-> IP_ADDR(22.22.22.22)}
IP GW local <-> IP GW distant : {11.11.11.11 <-> 22.22.22.22}
Interface sortante : eth0 (ifIndex=4)
ifMark=0x10000
linkStatus=0 (0:inconnu, 1:désactivé, 2:activé)
[Résumé du tunnel]
"1" tunnel(s) trouvé(s) utilisant la passerelle précédente
Nom : "11 vers 22" Activé
PFS : "Activé" Groupe DH : "14"
Nombre de propositions : "1"
Proposition "ESP-AES256-SHA256"
ESP :
Algo de chiffrement : "AES" Longueur clé : "32(bytes)"
Algo d'authentification : "SHA2-256"
Durée de vie : "28800(secondes)" Taille en octets : "0(koctets)"
Nombre de routes du tunnel : "1"
#1
Direction : "BOTH"
"192.168.10.0/24<->192.168.5.0/24"
[Infos d'exécution (IKE SA de la passerelle)]
Nom : "11 vers 22" (Statut : 0x80000001)
IKE SA : "0x0" État : "SA_INIT_I"
Créé le : Mar 4 Mar 2025 16:49:31
Mon adresse : 11.11.11.11:500 Adresse du pair : 22.22.22.22:500
Cookie d'initialisation : "604e2ccdff4ef868" Cookie de réponse : "0000000000000000"
Durée de vie : "0(secondes)" Taille en octets : "0(kbtyes)" DPD : "Activé"
Numéro de série : 543332
msgIdEnvoyé : 1 msgIdReçu : 0
[Infos d'exécution (IPSEC SA du tunnel)]
"0" SA IPSEC trouvée(s) sous le tunnel "11 vers 22"
[Infos d'exécution (IPSEC SP du tunnel)]
"1" SP IPSEC trouvée(s) sous le tunnel "11 vers 22"
#1
Point final du tunnel : "11.11.11.11->22.22.22.22"
Nom du tunnel : "11 vers 22"
[Paires d'adresses dans la zone de pare-feu]
Paires d'adresses pour le tunnel "11 vers 22"
[Résultat du vérificateur de politique]
Nom du tunnel : 11 vers 22
#1 route du tunnel 192.168.10.0/24<->192.168.5.0/24
Aucun résultat du vérificateur de politique pour ce tunnel (pas de P2SA trouvé ou autre erreur)
[Logs liés]
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): REÇU un paquet IKE à 11.11.11.11:500 (socket=14 ifIndex=4) de la paire 22.22.22.22:500
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): Réception du message "IKE_SA_INIT response" IKEv2 avec l'ID de message : 0, longueur : 416, SPI [i=b17539e47d2fe26a, r=e0803126e9f8bd9a]
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): Le message "IKE_SA_INIT response" contient 5 charges utiles [ SA(taille=48) KE(taille=264) NONCE(taille=20) N(taille=28) N(taille=28)]
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): Politique IKE '11 vers 22' récupérée de ikeSA(0xde06268)
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): traitement de la réponse IKE_SA_INIT - état=SA_INIT_I
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): Le pair est derrière NAT
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): La local n'est PAS derrière NAT
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22):ENCR: Algorithme ENCR correspondant trouvé : ENCR_AES_CBC, avec clé AES de 256 bits
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): proposition IKE[#1] correspond - ENCR_AES_CBC/AUTH_HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/GROUP14
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): arrêt de l'objet de nouvelle tentative(0xde07e98) pour la requête précédente (IKE_SA_INIT)
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): NATT : en tant qu'initiateur, nous devons faire flotter le port UDP (monPort : 500 -> 4500, port du pair : 500 -> 4500), local 0, distant 1
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): Début de l'échange IKE_AUTH. Politique IKE : 11 vers 22, Code opération : 4
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): Le pair n'est pas un dispositif WatchGuard et ne supporte pas la négociation SA sans enfant
<155>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): La passerelle distante n'est pas un dispositif WatchGuard ne supporte pas la négociation SA sans enfant. Résiliation de cette négociation de tunnel et planification de la renégociation de l'IKE et du SA enfant
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): ike2_Start_IkeAuth : démarrage du timer "Toujours actif" (expiration dans 20s) pour ikePcy(11 vers 22)
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): Suppression de ikeSA(obj=0xde06268) état=SA_INIT_I, actions:0x00000000, extrémité de la passerelle=11 vers 22, demandeur=ike2_ProcessData, raison="échec de l'envoi du message de requête IKE_AUTH"
<158>4 mars 16:49:11 iked[2950] : (11.11.11.11<->22.22.22.22): Libération de ikeSA(obj=0xde06268), état=IKESA_DELETED