فشلت مصادقة نفق IPSec بين الوصول الآمن وجدار حماية FortiGate

خيارات التنزيل

  • PDF     (245.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (80.7 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (65.0 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٠ أبريل ٢٠٢٦
معرّف المستند:225777

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

مسألة

فشل إنشاء نفق IPSec بين Cisco Secure Access وجدار حماية FortiGate مع أخطاء المصادقة. تظهر سجلات تصحيح أخطاء جدار حماية FortiGate رسائل "فشلت المصادقة"، على الرغم من التحقق من مطابقة "المفاتيح المشتركة مسبقا" (PSKs) على كلا الجانبين. فشلت مفاوضات المرحلة 1 مع حدوث خطأ INVALID_KE_PAYLOAD، مما يمنع النفق من الوصول. يبدو أن مقترحات التوصيل متطابقة بين نقطتي النهاية، لكن عملية إنشاء النفق لم تكتمل بنجاح.

البيئة

  • Cisco Secure Access

  • جدار حماية FortiGate (تتم إدارته بواسطة جهة خارجية)

  • تكوين نفق IPSec مع نقاط النهاية الأساسية والنسخ الاحتياطي المكررة

قرار

تم حل مشكلة اتصال نفق IPSec عن طريق إجراء تعديلات تكوين محددة لمعالجة خطأ INVALID_KE_PAYLOAD ومشكلات المصادقة.

تكوين مجموعة DH للمرحلة 1

تكوين مجموعة Diffie-Hellman (DH) واحدة فقط لمفاوضات المرحلة الأولى. قم بتعيين مجموعة DH رقم 20 في المرحلة 1 بدلا من إستخدام مجموعات DH متعددة أو مجموعة DH رقم 14 التي تم تكوينها مسبقا.

إصلاح التكوين

config vpn ipsec phase1-interface
    edit "sse-tunnel"
        set dhgrp 20
    next
end

تكوين إجتياز NAT

قم بتمكين إجتياز NAT (NAT-T) على تكوين نفق IPSec. كان هذا معطلا في السابق ولكن يجب تمكينه لإنشاء النفق بشكل صحيح.

تكوين سرية إعادة التوجيه الكامل

قم بتعطيل سرية إعادة التوجيه المثالية (PFS) في تكوين المرحلة 2 لإزالة تعارضات التفاوض المحتملة.

السبب

نتج فشل نفق IPSec عن العديد من حالات عدم التطابق وعدم التوافق:

  • خطأ INVALID_KE_PAYLOAD: حدث خطأ المرحلة الأولى هذا بسبب تعارضات تفاوض مجموعة Diffie-Hellman بين نقاط النهاية ل Cisco Secure Access و FortiGate

  • عدم تطابق مجموعة DH: لم تكن مجموعات DH المتعددة التي تم تكوينها واستخدام مجموعة DH 14 في التكوين الأصلي متوافقة مع متطلبات Cisco Secure Access

  • إعدادات إجتياز NAT: تم تعطيل إجتياز NAT، مما منع إنشاء نفق صحيح في بيئة الشبكة

المحتوى ذي الصلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
20-Apr-2026
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • أميت أرورا
    مهندس إستشاري تقني

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات