BFoIP ブログ

FortiGate: VPN can't connect with this message [peer has not completed Configuration Method]

I was not able to connect Internet VPN between FortiGate and Juniper SRX.
Then I found following message at the FortiGate:
[peer has not completed Configuration Method]

---log messages-------------

ike 0:VPNTest:890: notify msg received: R-U-THERE-ACK

ike 0:VPNTest:VPNTest: IPsec SA connect 4 10.10.10.1->192.168.1.1:0

ike 0:VPNTest:VPNTest: using existing connection

ike 0:VPNTest:VPNTest: config found

ike 0:VPNTest: request is on the queue

ike 0: comes 192.168.1.1:500->10.10.10.1:500,ifindex=4....

ike 0: IKEv1 exchange=Quick id=b8c9b865eb29f2bb/b31f2aadaac2cb72:efeabe21 len=428

ike 0: in B8C9B865EB29F2BBB31F2AADAAC2CB7208102001EFEABE21000001AC61F3DCE0A14CE2E5F756

ike 0:VPNTest:890: peer has not completed Configuration Method

ike 0:VPNTest: link is idle 4 10.10.10.1->192.168.1.1:0 dpd=1 seqno=2481

ike 0:VPNTest:890: send IKEv1 DPD probe, seqno 9345

ike 0:VPNTest:890: enc B8C9B865EB29F2BBB31F2AADAAC2CB7208100501A0EB31B500000054

ike 0:VPNTest:890: out B8C9B865EB29F2BBB31F2AADAAC2CB7208100501A0EB31B50000005C

ike 0:VPNTest:890: sent IKE msg (R-U-THERE): 10.10.10.1:500->192.168.1.1:500, len=92, id=b8c9b865eb29f2bb/b31f2aadaac2cb72:a0eb31b5

ike 0: comes 192.168.1.1:500->10.10.10.1:500,ifindex=4....

----------------

If you also find this message, please try to delete following configuration on your FortiGate firewall:
[set mode-cfg enable]

1. Enter "vpn ipsec phase1-interface" mode

Test-60C # config vpn ipsec phase1-interface

2. Check set mode-cfg enable is listed or not on your configuration using "show" command

Test-60C (phase1-interface) # show

config vpn ipsec phase1-interface

edit "VPNTest"

set interface "wan1"

set nattraversal disable

set mode-cfg enable

set proposal 3des-sha1 aes128-sha1

set dhgrp 5 2

set remote-gw 192.168.1.1

set psksecret ENC ooq9fO8Kc2/3JvXNaHzw==

end

3. Delete "set mode-cfg enable"

Test-60C (phase1-interface) # edit VPNTest

Test-60C (VPNTest) # set mode-cfg disable

4. Confirm the configuration is deleted using show command

Test-60C (VPNTest) # show

config vpn ipsec phase1-interface

edit "VPNTest"

set interface "wan1"

set nattraversal disable

set proposal 3des-sha1 aes128-sha1

set dhgrp 5 2

set remote-gw 192.168.1.1

set psksecret ENC ooq9fO8Kc2/3JvXNaHzw==

end

5. Exit from the VPN configuration mode

Test-60C (VPNTest) # next

Test-60C (phase1-interface) # end

Test-60C #

FortiGate [peer has not completed Configuration Method]メッセージでVPN接続不可

FortiGateとSRXでVPN接続を実施しようとした際、FortiGate側で

[peer has not completed Configuration Method]というメッセージでVPNが接続できなかったときの対応をメモしておきます。

---ログサンプル-------------

ike 0:VPNTest:890: notify msg received: R-U-THERE-ACK

ike 0:VPNTest:VPNTest: IPsec SA connect 4 10.10.10.1->192.168.1.1:0

ike 0:VPNTest:VPNTest: using existing connection

ike 0:VPNTest:VPNTest: config found

ike 0:VPNTest: request is on the queue

ike 0: comes 192.168.1.1:500->10.10.10.1:500,ifindex=4....

ike 0: IKEv1 exchange=Quick id=b8c9b865eb29f2bb/b31f2aadaac2cb72:efeabe21 len=428

ike 0: in B8C9B865EB29F2BBB31F2AADAAC2CB7208102001EFEABE21000001AC61F3DCE0A14CE2E5F756

ike 0:VPNTest:890: peer has not completed Configuration Method

ike 0:VPNTest: link is idle 4 10.10.10.1->192.168.1.1:0 dpd=1 seqno=2481

ike 0:VPNTest:890: send IKEv1 DPD probe, seqno 9345

ike 0:VPNTest:890: enc B8C9B865EB29F2BBB31F2AADAAC2CB7208100501A0EB31B500000054

ike 0:VPNTest:890: out B8C9B865EB29F2BBB31F2AADAAC2CB7208100501A0EB31B50000005C

ike 0:VPNTest:890: sent IKE msg (R-U-THERE): 10.10.10.1:500->192.168.1.1:500, len=92, id=b8c9b865eb29f2bb/b31f2aadaac2cb72:a0eb31b5

ike 0: comes 192.168.1.1:500->10.10.10.1:500,ifindex=4....

----------------

このメッセージが出た場合、[set mode-cfg enable]の設定を無効化にする必要がありました。

1.vpn ipsec phase1-interface の設定モードに入る

Test-60C # config vpn ipsec phase1-interface

2.show コマンドで set mode-cfg enable の設定の有無を確認

Test-60C (phase1-interface) # show

config vpn ipsec phase1-interface

edit "VPNTest"

set interface "wan1"

set nattraversal disable

set mode-cfg enable

set proposal 3des-sha1 aes128-sha1

set dhgrp 5 2

set remote-gw 192.168.1.1

set psksecret ENC ooq9fO8Kc2/3JvXNaHzw==

end

3.set mode-cfg enable 設定の無効化

Test-60C (phase1-interface) # edit VPNTest

Test-60C (VPNTest) # set mode-cfg disable

4.showコマンドで、設定が無効化されたことを確認

※set mode-cfg enableが表示されないことを確認

Test-60C (VPNTest) # show

config vpn ipsec phase1-interface

edit "VPNTest"

set interface "wan1"

set nattraversal disable

set proposal 3des-sha1 aes128-sha1

set dhgrp 5 2

set remote-gw 192.168.1.1

set psksecret ENC ooq9fO8Kc2/3JvXNaHzw==

end

5.VPN設定モードから抜ける

Test-60C (VPNTest) # next

Test-60C (phase1-interface) # end

Test-60C #

Symantec Web Security.cloud service transmission delay problem has been occurred.

I have suffered from this issue for 2 weeks.

<Symptom>
Slow response or sometimes you can't access to Web pages when you use Symantec .cloud　Web Security Serivce.

I realized this issue on November 14th 2016 and I called to Symantec but, this issue isn't fixed yet.

<Current environment>
Out current environment is as follows:
PC --> domestic proxy server ---> Symantec .cloud Web Security Serivce ---> Web pages

<Isolate the cause>
To isolate the cause, I've done following case of connection test.

1. Full path test
PC --> domestic proxy server ---> Symantec .cloud Web Security Serivce ---> Web pages
Result: slow

2. Except the domestic proxy server
PC ---> Symantec .cloud Web Security Serivce ---> Web pages
Result: slow

3. Direct access to Web pages
PC ---> Web pages
Result: fast

From these results, the point of failure is Symantec .cloud Web Security Serivce.
I hope fix it as soon as possible!

Sample exam Routing 20160831

In the network diagram above, which path will packets take when travelling from host 192.168.50.126 to host 192.168.50.5?
上記のネットワーク図で、192.168.50.126のホストから192.168.50.5のホストへ行く時、パケットはどのパスを通るでしょうか

A. Packets will travel from R3 to R2 to R1.
R3 -> R2 -> R1を通る

B. Packets will travel from R1 to R3 to R2.
R1 -> R3 -> R2を通る

C. Packets will travel from R3 to R1 and return back to R3.
R3 -> R1 -> R3を通る

D, Packets will travel from R3 to R1 and from R3 to R2 to R1.
R3 -> R1 と R3 -> R2 -> R1を通る

E. Packets will travel from R1 to R2 and back.
R1 -> R2を通って戻る

CORRECT ANSWER - D

MORE INFORMATION:

We begin by identifying to which network host 192.168.50.126 belongs.
192.168.50.126がどのネットワークに属しているかを識別するところから始めます
*begin by ～で始める

IP address 192.168.50.126 is the last usable address for network 192.168.50.64/26, which means it is directly connected to router 3.
192.168.50.126のIPアドレスは192.168.50.64/26のネットワークで使用できる最後のアドレスで、それはルータ3に

直接接続されていることを意味しています。

Next, we need to identify where 192.168.50.5 is located.
次に、192.168.50.5がどこにあるのかを識別する必要があります。

By examining the diagram, we can see IP 192.168.50.5 is router 1's interface that connects directly with router 2.
ネットワーク図を調べると、192.168.50.5のIPアドレスはルータ2に直接接続されるルータ1のインタフェースにあることがわかります。

Finally, to understand the path packets will take, we examine the output of router 3's routing table and discover that there are two equal cost links to network 192.168.50.4/30, therefore EIGRP will load-balance between both paths.
最後に、パケットが通るパスを理解するために、ルータ3のルーティングテーブルの出力を調べると、ネットワーク 192.168.50.4/30に対する2つの等コストリンクがあることに気づきます。

従って、EIGRPは両方のパスで負荷分散をします。

Sample exam Routing 20160829

One of the routers in your company has just received information about network 172.16.10.0/24 from multiple sources.
社内のルータが複数の送信元から172.16.10.0/24のネットワークの情報を受信しました。

Which of the below will the router consider as the most reliable source for network 172.16.10.0/24?
172.16.10.0/24のネットワークについてルータが最も信頼できると判断するルートは下記のうちどれか

A. An EIGRP update for network 172.16.10.0/24
ネットワーク172.16.10.0/24に対するEIGRPアップデート

B. An OSPF update for network 172.16.10.0/24
ネットワーク172.16.10.0/24に対するOSPFアップデート

C. A static route to network 172.16.10.0/24
ネットワーク172.16.10.0/24へのスタティックルート

D. A default route with a next hop address of 172.16.0.1
デフォルトルートであるネクストホップのアドレス172.16.0.1

E. A directly connected interface with an IP address of 172.16.10.254/24
172.16.10.254/24のIPアドレスを持つ直接接続されたインタフェース

F. None of the above. The router will discard the update.
上記にはない。ルータはアップデートを破棄する。

CORRECT ANSWER - E

The administrative distance (AD) is used by a router to determine which routing protocol to use if two or more protocols provide routing information for the same destination network.
アドミニストレーティブディスタンス(AD)は、もし複数のプロトコルから同じ宛先のネットワーク情報が提供された場合に、ルータによってどのプロトコルを使用するかを決定するために使われます。

The smaller the administrative distance, the higher the preference.
アドミニストレーティブディスタンスが最も小さいものが最も高い優先度を持ちます。

Directly connected interfaces have an AD of 0 and are always preferred.
直接接続されたインタフェースはADの値が0のため、常に優先されます。

Static routes have an AD of 1, while the Enhanced Interior Gateway Routing Protocol (EIGRP) has an AD of 90 and open shortest path first (OSPF) an AD of 110.
スタティックルートのADは1であり、EIGRP(Enhanced Interior Gateway Routing Protocol)のADは90、OSPF(Open Shortest Path Fast)のADは110です。

Sample exam STP 20160820

Your manager has requested you indicate which of the above ports will be Spanning Tree Protocol (STP)-designated ports:
あなたの上司は、あなたに上記のどのポートがスパニングツリープロトコル(STP)の代表ポートかを示すようにリクエストしています。
※have +過去分詞：現在完了形(～している)

下記のうち、正しい代表ポートを示しているものはどちらか選びなさい
A. Switch V1, Port Fa0/0; Switch V3, Port Fa0/0; Switch V3, Port Fa0/24
B. Switch V1, Port Fa0/24; Switch V2, Port Fa0/0; Switch V2, Port Fa0/24

CORRECT ANSWER - B

The first step is to understand which switch will become the root switch.
最初のステップでは、どのスイッチがルートスイッチになるかを理解するべきです。
※be to 不定詞：予定、義務、可能

This is done via a process called theSTP root bridge election process.
これはSTP ルートブリッジ選出プロセスによって行われます。

According to this process, the switch with the lowest bridge ID will be elected as the root switch.
このプロセスによって、最も低いブリッジIDのスイッチがルートブリッジとして選ばれます。

In this network diagram, that's SwitchV2.
このネットワーク図で、ルートブリッジはスイッチV2です。

As per STP protocol, SwitchV2 will have all ports set to STP designated.
STPプロトコルによって、スイッチV2はすべてのポートをSTP代表ポート(指定ポートとも言う)にセットします
※as per：～により、～の通り

Ports Fa0/0 on SwitchV1 and SwitchV3 are used to reach the root switch and are therefore designated STP root ports.
スイッチV1とスイッチV3のFa0/0ポートはルートスイッチに接続するために使われるため、それらはSTPルートボートに指定されます。

The last set of ports to examine is Fa0/24 on SwitchV1 and SwitchV3.
最後に調べる２つのポートはスイッチV1とスイッチV3のFa0/24ポートです。

Between these two, one port must be set to blocking mode in order to avoid creating a loop in this network, while the other will be set to forwarding mode.
これらの２つのポート間で、１つのポートは　ループを防止するためにその他のポートがフォワーディングモードにセットされる前にブロッキングモードにセットされなければなりません。

Since SwitchV1 has a lower media access control (MAC) address it wins, so SwitchV1 Fa0/24 is set to forwarding and becomes an STP designated port, while SwitchV3 Fa0/24 turns to a blocking state.
より小さいMACアドレスを持っているスイッチV1が勝つため、スイッチV1のFa0/24がフォワーディングモードにセットされ代表ポートになると同時に、スイッチV3のFa0/24はブロッキングモードに変わります。

※Since ～：～だから、～なので
※while：～する間、～と同時に

Sample exam Ethernet 20160815

After carefully examining the network diagram above, select the correct statement regarding broadcast and collision domains:
上記のネットワーク図を良く観察してから、ブロードキャストとコリジョンドメインに関する正しい記述を選びさない

A. There is one broadcast domain and seven collision domains.
1個のブロードキャストドメインと7個のコリジョンドメインがある

B. There are two broadcast domains and five collision domains.
2個のブロードキャストドメインと5個のコリジョンドメインがある

C. There is one broadcast domain and 12 collision domains.
1個のブロードキャストドメインと12個のコリジョンドメインがある

D. There are two broadcast domains and seven collision domains.
2個のブロードキャストドメインと7個のコリジョンドメインがある

E. There are two broadcast domains and 12 collision domains.
2個のブロードキャストドメインと12個のコリジョンドメインがある

CORRECT ANSWER - D

Each link to a switch (switch port) is a separate collision domain.
スイッチへのそれぞれのリンク(スイッチポート)はコリジョンドメインを分割します。

In our diagram, we have two switches and a total of seven links.
私達の図には、2個のスイッチと合計7個のリンクがあります。

Hubs (located in the lower left corner of the image) do not create separate collision domains per link.
ハブ(図の左下のかどに置かれているもの)はリンクごとにコリジョンドメインを分割しません。

That's because traffic entering one port exits all other ports.
ですから、1つのポートに入ったトラフィックは他のすべてのポートから出ます。

Routers, on the other hand, create separate broadcast domains as broadcast packets do not propagate across them.
もう一方のルータは、ブロードキャストパケットが伝搬しないブロードキャストドメインを作ります。

Sample exam Protocol 20160812

Identify which of the services below use both TCP and UDP ports:
TCPとUDPの両方のポートを使うサービスはどれか

A. FTP
B. TFTP
C. DNS
D. SSH
E. TELNET

Answer： C

The domain name service (DNS) protocol is the only protocol of those listed above that uses both the Transmission Control Protocol (TCP) and the User Datagram Protocol (UDP).
ドメインネームサービス(DNS)は、上記リストの中で転送制御プロトコル(TCP)とユーザデータグラムプロトコル(UDP)の両方を使う唯一のプロトコルです。

UDP is the preferred transport protocol for DNS services because it's fast.
UDPは速いので、DNSサービスに好まれる転送プロトコルです。

UDP does not require a connection to be established between the hosts before sending any data.
UDPはデータを送信する前にホスト間でコネクションの確立を要求しません。

If a host fails to receive a response from a DNS server after several requests, it can then switch to TCP.
もしホストが何度かリクエストした後DNSサーバからの受信に失敗したら、TCPに切り替えることができます。

TCP is slower but more reliable, because it requires a three-way handshake to be established between the hosts before any data is sent.
TCPは(UDPより)遅いですが信頼できます。
なぜならば、データが送信される前にスリーウェイハンドシェイクを要求するからです。

Sample exam Switching 20160811

Host A receives a frame and discards it after determining that it is corrupt.
At which OSI layer are frames checked for errors?
ホストAはフレームを受信し、それが壊れれていると分かるとフレームを破棄します。
どのOSIレイヤでフレームのエラーをチェックしますか？

A. Application
B. Network
C. Physical
D. Data-link
E. FCS or CRC

Answer: D

The data-link layer is responsible for checking each frame received for errors.
データリンク層には、受信した各フレームをチェックする責任があります(役割を担っています)。

Every Ethernet frame includes the frame check sequence (FCS) or cyclic redundancy check (CRC) value that is calculated by the host which sent the frame.
あらゆるイーサネットフレームは、フレームを送信するホスト側で計算した値である、ファイルチェックシーケンス(FCS)または巡回冗長検査符号(CRC)を含んでいます。

The receiving host generates its own FCS value for every frame received and then compares it with the FCS included in the frame.
受信側ホストは受け取ったすべてのフレームに対して自分でFCS値を計算し、フレーム内に含まれるFCSと比較します。

If the FCS values match, the frame has arrived without any error.
もしFCS値が一致していれば、フレームはエラーなしで届いたということです。

If the FCS values do not match, then it is assumed that the frame has an error or is corrupt and, therefore, is discarded.
もしFCS値が一致しなければ、フレームにはエラーがあるが壊れていることが推測されます。従って破棄されます。