ASA 5506 IKEV2配置问题

Wade_hCddU · ‎12-01-2019

我ASA和飞塔防火墙 ikev2 L2L配置，但是第一阶段配置status显示delete
crypto isakmp disconnect-notify
crypto ikev2 policy 10
encryption 3des
integrity sha md5
group 5
prf sha md5
lifetime seconds 86400
crypto ipsec ikev2 ipsec-proposal trans
protocol esp encryption 3des
protocol esp integrity md5
tunnel-group 112.95.173.85 type ipsec-l2l
tunnel-group 112.95.173.85 ipsec-attributes
isakmp keepalive threshold 10 retry 3
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****
crypto map vpn 10 match address vpn
crypto map vpn 10 set peer 112.95.173.85
crypto map vpn 10 set ikev2 ipsec-proposal trans
crypto map vpn interface outside
access-list vpn extended permit ip 10.1.2.0 255.255.255.0 10.40.0.0 255.255.255.0
crypto ikev2 enable outside
object network remote_vpn
subnet 10.40.0.0 255.255.255.0
nat (inside,outside) source static inside inside destination static remote_vpn remote_vpn no-proxy-arp route-lookup

YilinChen · ‎12-01-2019

本帖最后由 YilinChen 于 2019-12-2 10:51 编辑
1、能够适配，不用担心兼容性问题；
2、5506要么用传统IPSECVPN配置方法（匹配感兴趣流）
3、要么看5506是否支持SVTI（基于Tunnel,Forti的叫法是基于路由的IPSCVPN），2者也能协商起来；
4、注意2端设备上PFS的配置；
5、多看FORTI设备上的DEBUG信息
6、看楼主配置，是用了IKEV2，建议如果用传统配置，先用IKEV1协商进行测试；
7、补充关键性的一点，Forti设备不是只单独配IPSEVPN就会建立TUNNEL的，必须是完整配置，包含路由和相关安全策略的放行，不然IPSEVPN在Forti侧是不会正常协商的

Wade_hCddU · ‎12-09-2019

果然不一样他们用tunnel起的VPN，然后我第一阶段加密协商policy不匹配！