FortigateVMとFortiClient間でIPSec-VPNが確立できず、以下のログが発生した際の対処です。
ログの詳細 IPsec phase 1 error
アクション negotiate
ステータス negotiate_error
理由 peer SA proposal not match local policy
ログの詳細 Progress IPsec phase 1
アクション negotiate
ステータス failure
結果 ERROR
■バージョン
FortiGate for VMware FortiOS v7.0.5 build0304 (GA)
FortiClient 7.0.5.0238
解決策
FortiClient側のVPN詳細設定にて、フェーズ1およびフェーズ2のIKEプロポーザルを AESxxx
から DES
に変更すると、VPN通信が確立できるようになります。
状況確認
IPsecウィザードで作成したVPNトンネルですが、こちらを [カスタムトンネルへコンバート] し、[フェーズ1プロポーザル]の[暗号化]あたりを見てみると、DES
以外が選択できません。
フェーズ2プロポーザルではNULL
といった項目すらあります。
ただし、公式にはAESもサポートすると書いてはあります。
おそらくCUIでは設定できるのかもしれませんが、そこまで確認する気が起きませんでしたので今回はここまで。とりあえず DES
であれば通信できます。
参考