在防火墙FortiGate的v4.0,build0458,110627 (MR3 Patch 1),与前版本相比,虽然加入了很多花哨的功能,比如流量计数等,但是却犯了一个致命的错误,如果说是bug也不妥当,但是在web界面下,建立的IPsec站点隧道(vpn site to site),和之前版本建立的,在命令行下有很大不同,增加了若干东西,就是因为增加的这些命令,导致和其它设备对接不上。

下面看一下命令行,这是老版本的
config vpn ipsec phase1-interface
  edit "ShangHai_GW"
        set interface "wan2"
        set nattraversal disable
        set dhgrp 2
        set proposal 3des-sha1
        set negotiate-timeout 15
        set remote-gw 210.*.*.34
        set psksecret ENC DN0gTmbsRRDPMW4pyfKg703HL0B3nE35W+ZTe+B01xTE32TXq3nCbNfYfISjCQ5U34Vcjqz+aeQU59Zjb44i1AsH7qqF718XgrCst92OOYpLkHUn
    next
end
config vpn ipsec phase2-interface
    edit "ShangHai_×××"
        set keepalive enable
        set phase1name "ShangHai_GW"
        set proposal 3des-sha1
        set dhgrp 2
        set keylifeseconds 28800
    next
end
而这个版本的webgui界面产生的命令行多了一行非常多余的东西
在第二阶段config vpn ipsec phase2-interface下多了
set mode-cfg enable
就是这个东西导致和对端只能停留在第一阶段,表示成功,第二阶段无法匹配。
开始是用fortigate和juniper的ssg做对接,因为以前都做成功了,怎么也找不到原因,而且第一阶段还成功了,一直没把目光放在第一阶段,最后没办法了,把以前成功的配置命令行,改了IP导入,结果成功了,才知道是命令行出的问题,一个一个的尝试,最终把焦点放在这个命令上。
    后来去网站查,发现竟然是他们公司的一个私有东西,真是该死,如果说他们一个厂家的东西应该能用,后来尝试和旧版本的也不行,他们公司做的也太烂了,竟然和自己的前版本不兼容。
这个公司的东西还能值得信赖吗!