klink0v (klink0v) wrote,
klink0v
klink0v

А кто-нибудь щупал FortiGate-ы?

Тут попался очередной контрагент, с которым нужно строить site2site ipsec. Контрагент не российиский и какой-то крайне нетрадиционно мыслящий. Прислал на согласование схему подключения. Дык там не то что без пол-литра, без чего потяжелее-то не разберешься. У них FortiGate-AWS 6.4.2. Видимо, не смогли найти админов, которые не боялись бы в консоли работать.

А сильнее всего меня поставила в ступор их опция "Support Key Exchange for Subnets". В цисках, ждуниперах и StrongSWAN такой точно нет. Есть в Checkpoint-ах и в FortiGate-ах. Но я не понимаю что она делает и какой должна быть настройка с другой стороны. То ли это автоматическое (on-demand) создание или не-создание новой SA (security association) для соединения между парой различных хостов по обе стороны тоннеля, то ли имеется в виду IKEv2 multiple traffic selectors при согласовании второй фазы, то ли какое-то не-RFCшное расширение протокола IPSec.

Есличо, с моей стороны ждунипер SRX. Но с таким я сталкиваюсь впервые.

Вот наиболее релевантные ресурсы, которые я нагуглил, но прямого ответа на мой вопрос они всё равно не дают.

https://forum.fortinet.com/tm.aspx?m=10533
https://community.cisco.com/t5/vpn/key-exchange-for-subnets/td-p/3365136
https://sc1.checkpoint.com/documents/R80.40/WebAdminGuides/EN/CP_R80.40_SitetoSiteVPN_AdminGuide/Content/Topics-VPNSG/IPsec-and-IKE.htm

Если кто-нибудь из читающих меня реально работал со всякими Checkpoint-ами и FortiGate-ами, подскажите пожалуйста.

Tags: juniper, идиотизмы, ненависть, сети, ссылки, трудовыебудни
Subscribe

  • Indirect branch tracking

    Обновил на своем домашнем компе ядро с 6.1.0-18 до 6.1.0-20. И началась какая-то ересь с bluetooth-ом, плюс периодически стал подвисать USB. В логах…

  • Прикол с тинькоматом

    ... Решил заказать новую дебетовую карту у Синькова. Так-то в России сейчас любые банковские карты являются по сути бессрочными, но старая больно…

  • Российская криптография: бессмысленная и беспощадная, часть 2

    Первая часть была где-то здесь. Но с тех пор семь лет утекло, так что ту статью можете не читать. Неактуальная уже она. ... Я как-то очень давно…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments