配置多个PSK的连接用户IPsec阶段一
2012-12-24 15:06:02   来源：   评论：0 点击：

说明:
本文档针对FortiGate在主模式下配置多个预共享(PSK)模式连接用户模式IPSec 阶段一。
描述:
如果在主模式下同一接口下配置多个拨号阶段一，那么相同的阶段一将总被所有的拨号客户端匹配，主模式交换认证的第三阶段会显示该错误,日志信息如下:
2009-11-04 16:00:00 device_id=FGTxxx  log_id=0101023003 type=event subtype=ipsec pri=error loc_ip=aa.bb.cc.dd loc_port=500 rem_ip=ee.ff.gg.hh rem_port=500 out_if="wan1" vpn_tunnel="branchOffice" cookies=asd2345sdf4sdf345 action=negotiate status=negotiate_error msg="Negotiate SA Error: probable pre-shared secret mismatch"
当多个拨号主模式预共享阶段一存在时，IKE无法判断哪个阶段一用来匹配收到的第一个主模式包:
－源地址(拨号端)不能被用于区分(任何源地址都被允许使用阶段一)；
－目的地址(Fortigate)不能被用于区分(已经假定所有的阶段一绑定至该接口)；
－第一主模式包中没有任何额外的payload来标注如何选择阶段一。
所以，IKE的第一个阶段一总是被所有拨号端匹配。
解决方案:
为了在主模式PSK下多个拨号连接正常工作，建议使用如下方法:
-使用带对等体ID的Aggressive 模式
-使用带RSA签名的主模式
主模式RSA 签名不受该限制并能提供ID保护。