在防火墙FortiGate的v4.0,build0458,110627 (MR3 Patch 1),与前版本相比,虽然加入了很多花哨的功能,比如流量计数等,但是却犯了一个致命的错误,如果说是bug也不妥当,但是在web界面下,建立的IPsec站点隧道(*** site to site),和之前版本建立的,在命令行下有很大不同,增加了若干东西,就是因为增加的这些命令,导致和其它设备对接不上。
下面看一下命令行,这是老版本的
config *** ipsec phase1-interface
edit "ShangHai_GW"
set interface "wan2"
set nattraversal disable
set dhgrp 2
set proposal 3des-sha1
set negotiate-timeout 15
set remote-gw 210.*.*.34
set psksecret ENC DN0gTmbsRRDPMW4pyfKg703HL0B3nE35W+ZTe+B01xTE32TXq3nCbNfYfISjCQ5U34Vcjqz+aeQU59Zjb44i1AsH7qqF718XgrCst92OOYpLkHUn
next
end
config *** ipsec phase2-interface
edit "ShangHai_×××"
set keepalive enable
set phase1name "ShangHai_GW"
set proposal 3des-sha1
set dhgrp 2
set keylifeseconds 28800
next
end
而这个版本的webgui界面产生的命令行多了一行非常多余的东西
在第二阶段config *** ipsec phase2-interface下多了
set mode-cfg enable
就是这个东西导致和对端只能停留在第一阶段,表示成功,第二阶段无法匹配。
开始是用fortigate和juniper的ssg做对接,因为以前都做成功了,怎么也找不到原因,而且第一阶段还成功了,一直没把目光放在第一阶段,最后没办法了,把以前成功的配置命令行,改了IP导入,结果成功了,才知道是命令行出的问题,一个一个的尝试,最终把焦点放在这个命令上。
后来去网站查,发现竟然是他们公司的一个私有东西,真是该死,如果说他们一个厂家的东西应该能用,后来尝试和旧版本的也不行,他们公司做的也太烂了,竟然和自己的前版本不兼容。
config *** ipsec phase1-interface
edit "ShangHai_GW"
set interface "wan2"
set nattraversal disable
set dhgrp 2
set proposal 3des-sha1
set negotiate-timeout 15
set remote-gw 210.*.*.34
set psksecret ENC DN0gTmbsRRDPMW4pyfKg703HL0B3nE35W+ZTe+B01xTE32TXq3nCbNfYfISjCQ5U34Vcjqz+aeQU59Zjb44i1AsH7qqF718XgrCst92OOYpLkHUn
next
end
config *** ipsec phase2-interface
edit "ShangHai_×××"
set keepalive enable
set phase1name "ShangHai_GW"
set proposal 3des-sha1
set dhgrp 2
set keylifeseconds 28800
next
end
而这个版本的webgui界面产生的命令行多了一行非常多余的东西
在第二阶段config *** ipsec phase2-interface下多了
set mode-cfg enable
就是这个东西导致和对端只能停留在第一阶段,表示成功,第二阶段无法匹配。
开始是用fortigate和juniper的ssg做对接,因为以前都做成功了,怎么也找不到原因,而且第一阶段还成功了,一直没把目光放在第一阶段,最后没办法了,把以前成功的配置命令行,改了IP导入,结果成功了,才知道是命令行出的问题,一个一个的尝试,最终把焦点放在这个命令上。
后来去网站查,发现竟然是他们公司的一个私有东西,真是该死,如果说他们一个厂家的东西应该能用,后来尝试和旧版本的也不行,他们公司做的也太烂了,竟然和自己的前版本不兼容。
这个公司的东西还能值得信赖吗!
转载于:https://blog.51cto.com/xushen/677629