(FortiGate)飞塔防火墙IPsec ***抓包诊断命令

image.png


① sniffer抓包确认UDP 500/4500 双方通讯是否正常app

diagnose sniffer packet any "host 119.201.75.34 and  ( port 500 or port 4500)" 4dom

(这里IP119.201.75.34指的是对方公网IP。UDP 500 或 UDP 4500 这两个端口是IPsec ***协商协议IKE会使用的端口,必定要互通要通畅,不然***没法正常创建,确认互通正常在进行下一步定位)ide


② 经过日志,diagnose debug application ike 确认问题是出在第一阶段仍是第二阶段 debug

diagnose *** ike  log-filter name SZFT                            // 第一阶段名称 rest

diagnose *** ike log-filter dst-addr4 119.201.75.34       //IP换成对方公网IP日志

diagnose debug console timestamp enable                   //开启时间标签接口

diagnose debug  application ike  -1                                //匹配ike数据ip

diagnose debug  enable                                                  //开启抓包命令it

diagnose debug application  ike 0                                  // 关闭debug io

diagnose debug disable                                                 //关闭debug

diagnose debug reset                                                     //关闭debug


注意事项:diagnose debug application ike的时候要注意,本身不要主动发起链接,须要把第一阶段/第二阶段的自动协商关闭


关掉一阶段第二阶段的自动协商(如下是接口模式***关闭自动协商的配置命令)

TEST_1000D# config *** ipsec phase1-interface

TEST_1000D (phase1-interface) # edit ***

TEST_1000D (***) # set auto-negotiate disable

TEST_1000D (***) # end

TEST_1000D # config *** ipsec phase2-interface

TEST_1000D (phase1-interface) # edit ***

TEST_1000D (***) # set auto-negotiate disable

TEST_1000D (***) # end


有时候须要重置IPsec ***的链接:

diagnose *** ike filter name ***     // 第一阶段名称

diagnose *** ike restart                  //从新主动发起链接

diagnose *** tunnel reset            //重置第二阶段


重置IPsec ***通道,有VDOM的状况下:

TEST_1000D # config vdom

TEST_1000D (vdom) # edit root (进入具体的VDOM,这里咱们假设为root域)

TEST_1000D (root) #diagnose *** ike filter name ***     (这里***指的是具体的隧道名称)

TEST_1000D (root) # diagnose *** tunnel reset

TEST_1000D (root) # diagnose *** ike restart


查看IPsec ***状态命令:

diagnose *** ike gateway list

diagnose *** tunnel list

相关文章
相关标签/搜索