自定义 IPSec 隧道设置

VPN Wizard 创建隧道后，可能需要根据实际需求继续调整配置。常见自定义包括：

• 使用 Peer ID。
• 修改 Phase 1 和 Phase 2 Proposal。

使用 Peer ID

如果同一物理 WAN 接口上配置多个拨号 IPSec 隧道，FortiGate 需要通过 Peer ID 或 Network ID 区分传入的 IPSec 连接请求，并将连接关联到正确的 IPSec 隧道。

IKEv1 Aggressive Mode 可以使用 Peer ID 区分多个拨号 IPSec 隧道。因此，IKEv1 建议使用 Aggressive Mode，以便在 Phase 1 中使用 Peer ID 字段。

IKEv1 Aggressive Mode 协商过程中，FortiClient 会发送本地配置的 Local ID，FortiGate 将其与定义好的 Peer ID 匹配，从而识别对应隧道。因此，FortiClient 上的 Local ID 必须与 FortiGate 上对应隧道的 Peer ID 一致。

IKEv2 中，Peer ID 不包含在初始 IKE 消息中。因此 FortiGate 作为 IPSec 拨号 Server 时，无法准确地在多个拨号 Phase 1 配置中匹配正确隧道。IKEv2 建议改用 Phase 1 中的 Network ID。

Network ID 不能在未纳管的独立 FortiClient 中配置。通过 FortiClient EMS 管理时，FortiClient EMS 7.2.6 及以上或 7.4.1 及以上支持配置 Network ID。

IKEv2 中，FortiGate 使用 Network ID 作为唯一标识，区分同一 WAN 接口上的多个拨号隧道。协商过程中，FortiClient 发送 Network ID，FortiGate 将其与已定义的 Network ID 匹配，以识别正确隧道。FortiClient 上配置的 Network ID 必须与 FortiGate 上对应隧道的 Network ID 一致。

重要

不同 IPSec 隧道必须配置唯一 Peer ID 或 Network ID。

IKEv1 Peer ID 配置思路：

1. 进入“VPN → IPsec Tunnels”，编辑对应 IPSec 隧道。
2. 确认 IKE 为 Version 1，Mode 为 Aggressive。
3. 在 Authentication 下将 Accept Peer ID 改为 Specific peer ID。
4. 配置唯一 Peer ID。
5. 保存。

IKEv2 Network ID 通过 CLI 配置：

config vpn ipsec phase1-interface
    edit <vpn-tunnel-name>
        set network-overlay enable
        set network-id <ID>
    next
end

修改 Phase 1 和 Phase 2 Proposal

如需修改 IPSec Phase 1 和 Phase 2 的 SA 参数：

1. 进入“VPN → VPN Tunnels”，编辑 IPSec 隧道。
2. 在 Phase 1 proposal 中选择需要的自定义配置。
3. 在 Phase 2 Selectors 中选择 Phase 2 隧道并点击 Edit。
4. 选择所需自定义配置，并点击 OK 保存 Phase 2 Selectors。
5. 点击 OK 保存 IPSec 隧道配置。