[4G] 建立與 FortiGate 的 IPSec 連線

先前文章

[RouterOS] 建立與 FortiGate 的 IPSec 連線

是使用 RouterOS 的硬體來處理。

公司一直有使用國內廠商永洋科技的工業級 4G Router，剛好這台有 IPSec 功能，就用來測測看，測試的主機是太陽能案場建築物改建拆回，待改建完成後裝回去的設備，目前該型號已經過舊停產，要買只有新型號，就不把這台型號放上來，因為已經買不到了，永洋的設備網頁畫面幾乎一樣，應該其他型號這部分功能雷同。

這台預設會擋 ICMP 封包，設定前不知道，測試不過才知道，所以設定上要放行，但即使放行，ICMP 封包不會轉到 LAN ，所以只能對 Router 做測試。

關閉阻擋 ICMP 封包

這台支援雙 WAN ，WAN1 我讓他走光纖上網，WAN2 可以兩張 SIM 卡互相備援，一邊不通可以用另一邊，這台預設 WAN1 優先。

所以在建立 IPSec 連線時，須分別對 WAN1 跟 WAN 2 建立通道，分別取名為 toIDC 跟 toIDC4G ，連線時，因為有優先權問題，所以當 WAN1 通的時候，只有 WAN1 會建立連線，WAN2 會處於連接中的持續偵測。

最多可建立 16 條 IPSec 連線

WAN1 跟 WAN2 設定一樣，所以只列一個，FortiGate 的 IPSec 參數請參考前篇這邊只列設備參數，因為設備網頁設計為彈跳式視窗，使用 Div 標籤來做一個小畫面，不利於截圖，所以我是利用瀏覽器列印選擇範圍印出來，跟 FortiGate 呼應的變數用紅框圈起來。

設備呼應 FortiGate IPSec 的參數

連線成功就可以從狀態看到連線的情況，還滿好設定的，一次就上手。

設備狀態展示網頁

透過系統 log 可以看到我插拔 WAN1 網路線時，WAN2 會自動建立 IPSec 連線。

[日期馬賽克] 16:01:32 syslog: 04[IKE] sending DPD request 
[日期馬賽克] 16:01:32 syslog: 04[ENC] generating INFORMATIONAL_V1 request 388906204 [ HASH N(DPD) ] 
[日期馬賽克] 16:01:32 syslog: 04[NET] sending packet: from 172.16.60.239[4500] to [遠端IP馬賽克][4500] (92 bytes) 
[日期馬賽克] 16:01:32 syslog: 15[NET] received packet: from [遠端IP馬賽克][4500] to 172.16.60.239[4500] (92 bytes) 
[日期馬賽克] 16:01:32 syslog: 15[ENC] parsed INFORMATIONAL_V1 request 2283433188 [ HASH N(DPD_ACK) ] 
[日期馬賽克] 16:01:32 syslog: 03[IKE] sending retransmit 3 of request message ID 0, seq 1 
[日期馬賽克] 16:01:32 syslog: 03[NET] sending packet: from 100.120.69.136[500] to [遠端IP馬賽克][500] (409 bytes) 
[日期馬賽克] 16:01:51 syslog: 15[IKE] sending keep alive to [遠端IP馬賽克][4500] 
[日期馬賽克] 16:01:55 syslog: 05[IKE] sending retransmit 4 of request message ID 0, seq 1 
[日期馬賽克] 16:01:55 syslog: 05[NET] sending packet: from 100.120.69.136[500] to [遠端IP馬賽克][500] (409 bytes) 

我約每分鐘快速插拔 WAN1 網路線中，大部分情況都可以完成自動切換，但有發生超過 5 分鐘卡在 4G 建立 IPSec 連線沒有中斷，導致 WAN1 無法建立連線，造成雖然可以上到網際網路，但無法連接到 IPSec VPN 網段內。設備能手動中斷 IPSec 連線，讓設備自動重新建立連線，但找不到有 watch dog 或排程可以處理這塊。

Client 端對 Server 端通聯正常，ICMP 封包跟 http 封包都正常。

Client 連接 Server 的服務

Server 端對 Client 端通聯中，ICMP 封包到 Router 正常，到 Client 裝置會被擋，可能是裝置預設會擋 ICMP 封包 (這邊有確認過 Windows Client 會回應 ICMP 封包)，http 封包都正常，連接的網頁是我在 NB 備份的個人網頁。

Server 連接 Client 的服務

這台設備大體上可用，因為實況上不會碰到 WAN1 經常性斷線、恢復連線，所以不太有機會碰上卡住的情形，由於這台已經停產，官方網站也沒有韌體更新，所以不確定是不是可被修復的 bug 。

[IPv6] 非預期的遭遇戰

話說離開學校後，就沒碰過 IPv6 的環境，大概有 17 年沒碰過了。

今天女兒在校外租的地方碰上網路異常，最後的結果很瞎，所以我先說背景。

女兒有手機、平板、筆電要上網，所以我幫他準備了 TotoLink AC3 無線基地台，1 WAN / 2 LAN / 300 MHz：

https://www.totolink.tw/products_view/N200REplus

女兒都是透過這台無線基地台上網，這台無線基地台則上接牆孔。

女兒反映，筆電部份網站不能連線，比如說成大首頁，但多數網站可以連線，比如說 Google 首頁、Youtube ，但 iPad 則都可以連線，因為要上傳作業，要連到系上，問我怎麼辦。

我確認女兒是都用 AC3 無線上網後，先行排除 AC3 異常，請女兒跑 ipconfig /all 給我看，DNS 如下：

無法連到成大的 DNS

我離開成大 17 年，但我還是記的 163.28.112.1 是成大在用的 DNS ，我一開始以為她在學校，但是不是，檢查網卡 DNS 設定，又是自動設定，所以顯然這 DNS 是上游散布下來的。

我讓她手動設定 DNS 為 8.8.8.8 測試，可以解析 http://www.ncku.edu.tw ，但是仍然連不上。

把 DNS 改回自動後，又回到 163.28.112.1 ，我一度以為是快取問題，所以請女兒把 iPhone 開無線分享給 NB 測試，女兒使用 iPhone 無線上網則一切正常，我順便跑 tracert http://www.ncku.edu.tw ，意外發現 iPhone 無線基地台的 IP 是 172.20.10.1 。

切回 AC3 後，網路設定還是回到上圖，我一度以為會不會是同學使用 VPN 連到成大，網路設定錯誤導致被覆蓋或混淆，或是房東的網路設定錯誤，導致牆孔異常。

既然女兒可以連線到 Youtube ，我請女兒測試 tracert http://www.youtube.com ，果然，可以正確連上。

都是 ipv6

一看，是從 HiNet 出去，果然是用校外網路，但是越看越不對，怎麼全部都是 ipv6 的節點？

請女兒把網卡 IPv6 關閉後，就變成完全不能上網了，但是還是能連線到 AC3 。忽然想到，該不會女兒 WAN 端接錯了吧？請女兒把 AC3 系統狀態貼給我看，果然，WAN 是斷的，女兒把網路線插到 LAN1 去了。

問題找到就一下解決了，改插到 WAN 就恢復正常。

當然，網卡有快取，iPad 是關閉網路再重開才恢復正常。

至於先前網路會通，我是這樣判斷：

假定房東裝的是中華電信光纖到府，預設有開啟 Router (WiFi) ，所以直接插網孔就能上網，例如 AC3 取得 WAN 的 IP 是 192.168.1.116 。

假定中華電信數據機的 IPv6 是開著。

所以當女兒接到 LAN1 時，筆電 > WiFi > LAN1 (Switch) > 數據機 IPv6 上網。

接回 WAN 時，筆電 > WiFi > WAN (Router) > 數據機 IPv4 上網。

也就是說我判斷數據機那邊會直接分配 IPv6 的 IP 上網。

至於 163.28.112.1 這個 DNS ，我記得是在高速網域，不在成大網域內，當初是 IPv6 的備用 DNS 的樣子，還好有點印象，還會聯想到。

這次遭遇戰，完全沒有準備，被打得莫名其妙。