飞塔防火墙配置IPSec over TCP

启用TCP模式
此功能仅适用于IKE v2，需要7.4.1以上版本固件

config vpn ipsec phase1-interface
edit "ipsec_name"
set transport tcp //强制使用TCP传输隧道IKE数据包
set fortinet-esp enable //强制使用TCP传输隧道ESP数据包，谨慎使用
end

使用网络ID替代对等体ID
IKE v2模式使用IPSec over TCP，会出现多个拨号连接无法区分隧道的问题

config vpn ipsec phase1-interface
edit "ipsec_name"
set peertype any
set network-overlay enable
set network-id 1 //范围1-254
end

查看TCP协议的IKE端口监听和连接

diag sys tcpsock | grep ike

修改IKE TCP端口

config system settings
set ike-tcp-port 6000
end

VPN连接诊断

diagnose vpn tunnel list //查看隧道状态
diagnose vpn ike gateway list //查看协商状态