Networking

FortiGate—IPSEC_Aggressive_Mode

Reference

https://community.fortinet.com/t5/FortiClient/Troubleshooting-Tip-Dial-up-IPsec-VPN-in-aggressive-mode-when/ta-p/189924

Situation

Using the wizard to create an IPsec FortiClient VPN.
> IKEv1 Aggressive Mode with two DH groups selected(5, 14).
> FortiClient cannot connect to IPsec Dialup VPN.
> Error Message in Diagnose Messages: "ike V=root:0:Test_Ipsec:306: compute DH shared secret request queued".

Solution

# Aggressive Mode 一開始就要決定 DH 公鑰,所以只能用一個 DH group > 3個封包建立連線。
[1]
Choose only one DH group in phase1.

# Main Mode 先交換候選參數,再決定使用哪一組,所以可以選多個 DH group > 6個封包建立連線。
# IKEv2 在提案交換階段就能帶多組參數,協商後才選定,因此支援多個 DH group > 4個封包建立連線。
[2]
Change to Main Mode or IKE2.

Troubleshooting

[1]
# 確認參數
get vpn ike gateway

------
[2]
# 清除舊的 debug 設定
diagnose debug reset                    

# 增加debug時間戳記
diagnose debug console timestamp enable

# 開啟 IKE 模組 debug (所有資訊)
diagnose debug application ike -1       

# 打開 debug 輸出
diagnose debug enable

# 清除舊的 debug 設定
diagnose debug reset

# 關閉 debug 輸出
diagnose debug disable