{"id":10390,"date":"2020-04-23T12:24:45","date_gmt":"2020-04-23T10:24:45","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=10390"},"modified":"2020-06-23T17:32:14","modified_gmt":"2020-06-23T15:32:14","slug":"bovpn-tunnel-watchguard-fortinet-ikev1-mismatched-id-setting","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2020\/04\/bovpn-tunnel-watchguard-fortinet-ikev1-mismatched-id-setting\/","title":{"rendered":"BOVPN-Tunnel WatchGuard <=> Fortinet, IKEv1 &#8211; Mismatched ID Setting"},"content":{"rendered":"<p>Ein Kunde hatte gerade ein Problem, einen IPSec BOVPN-Tunnel zwischen WatchGuard und Fortinet \/ Fortigate aufzubauen.<\/p>\n<p>Setup: physikalische WatchGuard =&gt; Oracle Cloud =&gt; NAT =&gt; Virtuelle Fortinet<\/p>\n<p>In einer Telko mit dem Kunden und dem Techniker, der die Fortinet konfiguriert, konnten wir debuggen.<\/p>\n<p>Alle Settings (IKEv1) haben soweit gepasst, allerdings kam immer ein Fehler (auf der WG gemeldet):<\/p>\n<pre>IKE phase-1 negotiation from xx.xx.xx.xx:500 to yy.yy.yy.yy:500 failed. Gateway-Endpoint='name-des-gateways' Reason=Authentication failure due to mismatched ID setting<\/pre>\n<p>Laut Aussage des Technikers kann man bei der Fortigate die ID aber nicht einstellen; die Fortinet w\u00fcrde<br \/>\ndie ID erst auf Anfrage der Gegenstelle \u00fcberhaupt senden, und dann dort die externe IP reinschreiben.<br \/>\n(also ID = externe IP, nicht die \u201eexterne IP aus dem Transfernetz\u201c.\u00a0 =&gt; bei der WatchGuard dann remote ip = remote id).<\/p>\n<p>Ein Erh\u00f6hen des Diagnostic log level auf info hat nichts wirklich Neues gegeben.<\/p>\n<p>Ein Erh\u00f6hen des Diagnostic log level auf debug brachte dann eine Meldung zutage:<br \/>\n\u201einvalid payload type (FQDN)\u201c oder so \u00e4hnlich. Wir haben leider keinen Screenshot dazu.<\/p>\n<p>die WG hat also Type=IP erwartet und Type=FQDN erhalten.<\/p>\n<p>Ich habe danach die Remote-ID umgestellt:<\/p>\n<pre>(\u00a0) By IP Address\r\n(*) By Domain Information\r\n=&gt;\u00a0(*) Domain Name\r\n=&gt;\u00a0Die remote IP-Adresse als Domain Name eintragen<\/pre>\n<p>hat geholfen:<\/p>\n<p><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2020\/04\/2020-04-23_11h50_16.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-10391\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2020\/04\/2020-04-23_11h50_16-275x300.png\" alt=\"\" width=\"275\" height=\"300\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2020\/04\/2020-04-23_11h50_16-275x300.png 275w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2020\/04\/2020-04-23_11h50_16.png 412w\" sizes=\"(max-width: 275px) 100vw, 275px\" \/><\/a><\/p>\n<p>nach dem Abspeichern kam der Tunnel sofort hoch.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein Kunde hatte gerade ein Problem, einen IPSec BOVPN-Tunnel zwischen WatchGuard und Fortinet \/ Fortigate aufzubauen. Setup: physikalische WatchGuard =&gt; Oracle Cloud =&gt; NAT =&gt; Virtuelle Fortinet In einer Telko mit dem Kunden und dem Techniker, der die Fortinet konfiguriert, konnten wir debuggen. Alle Settings (IKEv1) haben soweit gepasst, allerdings kam immer ein Fehler (auf der WG gemeldet): IKE phase-1 negotiation from xx.xx.xx.xx:500 to yy.yy.yy.yy:500 &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2020\/04\/bovpn-tunnel-watchguard-fortinet-ikev1-mismatched-id-setting\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">BOVPN-Tunnel WatchGuard <=> Fortinet, IKEv1 &#8211; Mismatched ID Setting<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[11,650,649,50,648,13],"class_list":["post-10390","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-bovpn","tag-fortigate","tag-fortinet","tag-ike","tag-ikev1","tag-tunnel"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/10390"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=10390"}],"version-history":[{"count":5,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/10390\/revisions"}],"predecessor-version":[{"id":10792,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/10390\/revisions\/10792"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=10390"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=10390"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=10390"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}