klink0v (klink0v) wrote,
klink0v
klink0v

А кто-нибудь щупал FortiGate-ы?

Тут попался очередной контрагент, с которым нужно строить site2site ipsec. Контрагент не российиский и какой-то крайне нетрадиционно мыслящий. Прислал на согласование схему подключения. Дык там не то что без пол-литра, без чего потяжелее-то не разберешься. У них FortiGate-AWS 6.4.2. Видимо, не смогли найти админов, которые не боялись бы в консоли работать.

А сильнее всего меня поставила в ступор их опция "Support Key Exchange for Subnets". В цисках, ждуниперах и StrongSWAN такой точно нет. Есть в Checkpoint-ах и в FortiGate-ах. Но я не понимаю что она делает и какой должна быть настройка с другой стороны. То ли это автоматическое (on-demand) создание или не-создание новой SA (security association) для соединения между парой различных хостов по обе стороны тоннеля, то ли имеется в виду IKEv2 multiple traffic selectors при согласовании второй фазы, то ли какое-то не-RFCшное расширение протокола IPSec.

Есличо, с моей стороны ждунипер SRX. Но с таким я сталкиваюсь впервые.

Вот наиболее релевантные ресурсы, которые я нагуглил, но прямого ответа на мой вопрос они всё равно не дают.

https://forum.fortinet.com/tm.aspx?m=10533
https://community.cisco.com/t5/vpn/key-exchange-for-subnets/td-p/3365136
https://sc1.checkpoint.com/documents/R80.40/WebAdminGuides/EN/CP_R80.40_SitetoSiteVPN_AdminGuide/Content/Topics-VPNSG/IPsec-and-IKE.htm

Если кто-нибудь из читающих меня реально работал со всякими Checkpoint-ами и FortiGate-ами, подскажите пожалуйста.

Tags: juniper, идиотизмы, ненависть, сети, ссылки, трудовыебудни
Subscribe

  • Починил форточки

    под Virtualbox-ом. Но в процессе несколько раз убедился, что VirtualBox действительно глюкав. И что все эти баги не фиксят годами. Напомню, у меня…

  • Зависть

    На работу взяли совсем-совсем молоденькую девочку-юристку. Оная зашла к нам в админскую комнату. В это время PM (менеджер проектов) собирается…

  • ОколоITшный дыбр #19

    ... В одном из прошлых постов я уже рассказывал про заказчиков-дятлов, которые хотят чтобы им всё инсталлировали и запустили в лучшем виде, но при…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments