증상 :
FortiGate와 대외기관 CheckPoint 장비 간 IKEv2로 IPSec VPN을 구성했으나, key lifetime 만료 후
재협상시 아래와 같이 에러가 지속적으로 발생함
auto negotiation 옵션으로 터널을 다시 맺긴하지만 기본 IPSec rekey 옵션이 정상적으로 작동되지않는것으로 추정됨
조치내역 :
포티게이트 CLI 설정 중 phase1-interface의 reauth 활성화
config vpn ipsec phase1-interface
edit 'phase1-interface Name'
set reauth enable* rekey : CREATE_CHILD_SA IKEv2에서 지원되는 충돌 없이 런타임에 교환할 수 있는 새로운 키 세트( ) 를 생성하려고 시도합니다
* reauth: 인증( IKE_SA_INIT , IKE_AUTH)을 포함하여 완전한 재생성을 수행하고 작업을 중단할 수 있습니다. IKEv2에서는 가동 중지 시간 없이 발생할 수 있습니다
조치 결과 :
reauth 활성화 이후 key lifetime 만료 후 재협상시마다 발생하던 에러가 사라졌다.
이기종 장비에 대한 IPSec은 밴더에서도 비추천하는 이유가 있는듯하다.
IKEv2 프로세스는 아래와 같은 초기협상 이후 IKEv2로 진행되는데
1. IKE_SA_INIT Exchange
2. IKE_AUTH Exchange
3. CREATE_CHILD_SA(IKEv2진행)
ipsec phase1에서 진행하는 키 세트 변경시에 문제가 있는것으로 보인다.
그래서 reauth(IKE_SA,AUTH을 포함)를 통한 전체 재 인증 활성화 이후 정상화 된것으로 추정된다.
참조 URL :
https://www.samuraj-cz.com/clanek/fortigate-ipsec-vpn-debug-a-problemy/