Azure 站台到站台 VPN 和 Fortigate IPSec 第 2 階段 SA 重建時發生錯誤 -“對等 SA 提案與本機策略不符”

Azure 站台到站台 VPN 和 Fortigate IPSec 第 2 階段 SA 重建時發生錯誤 -“對等 SA 提案與本機策略不符”

我正在為後代記錄這一點。在運行FortiOS v6.4.4 build1803 (GA) 的Azure VPN 網關和Fortigate 200 E 防火牆之間成功建立並運行一段時間的IPSEC 隧道後,隧道斷開並且在一段時間內無法重新建立(在我的情況下大約一個小時) )然後再次恢復,就像什麼都沒發生一樣。

在此輸入影像描述 Fortigate 日誌檔案包含以下有用條目,其中錯誤「對等 SA 提議與本地策略不符」表示:

date=2021-01-03 time=04:22:03 eventtime=1609618924346452242 tz="+0800" logid="0101037129" type="event" subtype="vpn" level="notice" vd="root" logdesc="Progress IPsec phase 2" msg="progress IPsec phase 2" action="negotiate" remip=1.2.3.4 locip=5.6.7.8 remport=500 locport=500 outintf="wan1" cookies="xxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxx" user="N/A" group="N/A" useralt="N/A" xauthuser="N/A" xauthgroup="N/A" assignip=N/A vpntunnel="AZURE-XYZ" status="success" init="remote" exch="CREATE_CHILD" dir="outbound" role="responder" result="DONE" version="IKEv2"
date=2021-01-03 time=04:22:03 eventtime=1609618924346420462 tz="+0800" logid="0101037125" type="event" subtype="vpn" level="error" vd="root" logdesc="IPsec phase 2 error" msg="IPsec phase 2 error" action="negotiate" remip=1.2.3.4 locip=5.6.7.8 remport=500 locport=500 outintf="wan1" cookies="xxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxx" user="N/A" group="N/A" useralt="N/A" xauthuser="N/A" xauthgroup="N/A" assignip=N/A vpntunnel="AZURE-XYZ" status="negotiate_error" reason="peer SA proposal not match local policy"
date=2021-01-03 time=04:22:03 eventtime=1609618924346376500 tz="+0800" logid="0101037120" type="event" subtype="vpn" level="notice" vd="root" logdesc="Negotiate IPsec phase 1" msg="negotiate IPsec phase 1" action="negotiate" remip=1.2.3.4 locip=5.6.7.8 remport=500 locport=500 outintf="wan1" cookies="xxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxx" user="N/A" group="N/A" useralt="N/A" xauthuser="N/A" xauthgroup="N/A" assignip=N/A vpntunnel="AZURE-XYZ" status="success" result="N/A" peer_notif="N/A"

Azure VPN 閘道不包含有用的診斷。

答案1

解決方案是使用 Azure VPN 閘道安裝自訂 IPSec 策略,如這裡所述Azure 故障排除文檔。確保選擇相容的策略選項(我在所有地方都選擇了 AES256/SHA256)並停用 PFS。這此處描述了操作方法。當您按照指南進行操作時,您將沒有安裝 IPSec 策略預設 - 這是違反直覺的,因為網關當然有一個策略,但它是預設策略,因此是隱藏的。只需按照指南操作即可。

如果您覺得這讓您省去了一些麻煩,請按讚或留言。

相關內容