Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
Netherlands
New Zealand
North Macedonia
Norway
Philippines
Poland
Portugal
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
Atentie sporita la IPSec VPN
[g1_lead]
In postarea de astazi doresc sa atrag atentia asupra unei anomalii ce poate aparea la crearea unui tunel IPSec VPN intre Forticlient si FortiGate, si anume: numele interfetei VPN create in faza 1 este limitat la 15 caractere.
[/g1_lead]
Astfel, in momentul in care se creeaza faza 1 cu numele, sa spunem, “P1”, o interfata virtuala este creata automat cu numele “P1_<n>”, unde “n” este indexul tunelului. De asemenea, “_<n>” este luat in considerare la lungimea numelui si intra in limita celor 15 caractere.
De exemplu, daca vom crea o prima faza 1 cu numele “faza1”, atunci o interfata virtuala “faza1_1” va fi de asemenea creata. Numele acestei interfete are 7 caractere, desi numele fazei 1 are numai 5 caractere.
Daca, insa, vom crea o prima faza 1 cu numele “inscriptibilii” atunci acel tunel VPN nu se va ridica, generand erori, deoarece interfata virtuala creata automat se va numi “inscriptibilii_1”, care are 16 caractere.
De asemenea, o problema va aparea atunci cand cream, de exemplu, a 10-a faza 1 (pentru un al 10-lea tunel VPN) cu numele “treieratoarea”, vom primi mesaj de eroare deoarece interfata virtuala se va numi “treieratoarea_10”, care are, la fel, 16 caractere. Daca am fi numit a 9-a faza 1 a tunelului respectiv (al 9-lea tunel VPN) cu acest nume, atunci totul ar functiona normal, deoarece interfata virtuala asignata acestui tunel s-ar numi “treieratoarea_9”, cu numai 15 caractere.
Ca sa sumarizam:
- Daca numele unei faze 1 a unui tunel este compus din 14 caractere, atunci orice astfel tunel VPN va esua.
- Daca numele unei faze 1 a unui tunel este compus din 13 caractere, atunci al 10-lea tunel VPN va esua (numai primele 9 vor functiona)
- Daca numele unei faze 1 a unui tunel este compus din 12 caractere, atunci al 100-lea tunel VPN va esua (numai primele 99 vor functiona)
- Etc.
Ceea ce am spus mai sus nu este un secret, gasim aceste informatii in documentatia Fortinet la adresa https://kb.fortinet.com/kb/documentLink.do?externalID=FD31562
Totusi, am vrut sa specific aceste lucruri, deoarece problema ridicarii unui al 10-lea tunel IPSec VPN poate fi usor confundata cu simptomele ridicate de problema licentierii default de administrare a Forticlient de catre FortiGate, licenta care limiteaza numarul lor la 10 (repet, by default). Astfel, asemanator problemei de mai sus, daca avem 10 clienti Forticlient inregistrati si administrati de Fortigate, un al 11-lea va avea problema de inregistrare, implicit de conectare la tunelul IPSec VPN.
