config vpn ipsec phase1-interface
Configure VPN remote gateway.
config vpn ipsec phase1-interface Description: Configure VPN remote gateway. edit <name> set interface {string} set ike-version [1|2] set local-gw {ipv4-address} set remote-gw {ipv4-address} set keylife {integer} set certificate <name1>, <name2>, ... set authmethod [psk|signature] set mode [aggressive|main] set peertype {option} set peerid {string} set peer {string} set proposal {option1}, {option2}, ... set psksecret {password-3} set keepalive {integer} set distance {integer} set priority {integer} set localid {string} set localid-type [auto|fqdn|...] set negotiate-timeout {integer} set fragmentation [enable|disable] set comments {var-string} set send-cert-chain [enable|disable] set dhgrp {option1}, {option2}, ... set eap [enable|disable] set eap-identity [use-id-payload|send-request] set eap-exclude-peergrp {string} set acct-verify [enable|disable] set ppk [disable|allow|...] set ppk-secret {password-3} set ppk-identity {string} set wizard-type [custom|dialup-forticlient|...] set xauthtype [disable|client|...] set reauth [disable|enable] set authusr {string} set authpasswd {password} set group-authentication [enable|disable] set group-authentication-secret {password-3} set authusrgrp {string} set idle-timeout [enable|disable] set idle-timeoutinterval {integer} set inbound-dscp-copy [enable|disable] set auto-discovery-sender [enable|disable] set auto-discovery-receiver [enable|disable] set auto-discovery-forwarder [enable|disable] set auto-discovery-psk [enable|disable] set auto-discovery-shortcuts [independent|dependent] set fragmentation-mtu {integer} set childless-ike [enable|disable] set rekey [enable|disable] set digital-signature-auth [enable|disable] set signature-hash-alg {option1}, {option2}, ... set rsa-signature-format [pkcs1|pss] set enforce-unique-id [disable|keep-new|...] set cert-id-validation [enable|disable] set network-overlay [disable|enable] set network-id {integer} set loopback-asymroute [enable|disable] next end
config vpn ipsec phase1-interface
Parameter |
Description |
Type |
Size |
Default |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
name |
IPsec remote gateway name. |
string |
Maximum length: 15 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
interface |
Local physical, aggregate, or VLAN outgoing interface. |
string |
Maximum length: 35 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ike-version |
IKE protocol version. |
option |
- |
1 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
local-gw |
IPv4 address of the local gateway's external interface. |
ipv4-address |
Not Specified |
0.0.0.0 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
remote-gw |
IPv4 address of the remote gateway's external interface. |
ipv4-address |
Not Specified |
0.0.0.0 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
keylife |
Time to wait in seconds before phase 1 encryption key expires. |
integer |
Minimum value: 120 Maximum value: 172800 |
86400 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
certificate |
The names of up to 4 signed personal certificates. Certificate name. |
string |
Maximum length: 79 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
authmethod |
Authentication method. |
option |
- |
psk |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
mode |
The ID protection mode used to establish a secure channel. |
option |
- |
main |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
peertype |
Accept this peer type. |
option |
- |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
peerid |
Accept this peer identity. |
string |
Maximum length: 255 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
peer |
Accept this peer certificate. |
string |
Maximum length: 35 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
proposal |
Phase1 proposal. |
option |
- |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
psksecret |
Pre-shared secret for PSK authentication (ASCII string or hexadecimal encoded with a leading 0x). |
password-3 |
Not Specified |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
keepalive |
NAT-T keep alive interval. |
integer |
Minimum value: 10 Maximum value: 900 |
10 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
distance |
Distance for routes added by IKE. |
integer |
Minimum value: 1 Maximum value: 255 |
15 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
priority |
Priority for routes added by IKE. |
integer |
Minimum value: 1 Maximum value: 65535 |
1 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
localid |
Local ID. |
string |
Maximum length: 63 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
localid-type |
Local ID type. |
option |
- |
auto |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
negotiate-timeout |
IKE SA negotiation timeout in seconds. |
integer |
Minimum value: 1 Maximum value: 300 |
30 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
fragmentation |
Enable/disable fragment IKE message on re-transmission. |
option |
- |
enable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
comments |
Comment. |
var-string |
Maximum length: 255 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
send-cert-chain |
Enable/disable sending certificate chain. |
option |
- |
enable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
dhgrp |
DH group. |
option |
- |
14 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eap |
Enable/disable IKEv2 EAP authentication. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eap-identity |
IKEv2 EAP peer identity type. |
option |
- |
use-id-payload |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
eap-exclude-peergrp |
Peer group excluded from EAP authentication. |
string |
Maximum length: 35 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
acct-verify |
Enable/disable verification of RADIUS accounting record. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ppk |
Enable/disable IKEv2 Postquantum Preshared Key (PPK). |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ppk-secret |
IKEv2 Postquantum Preshared Key (ASCII string or hexadecimal encoded with a leading 0x). |
password-3 |
Not Specified |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ppk-identity |
IKEv2 Postquantum Preshared Key Identity. |
string |
Maximum length: 35 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
wizard-type |
GUI VPN Wizard Type. |
option |
- |
custom |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
xauthtype |
XAuth type. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
reauth |
Enable/disable re-authentication upon IKE SA lifetime expiration. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
authusr |
XAuth user name. |
string |
Maximum length: 64 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
authpasswd |
XAuth password (max 35 characters). |
password |
Not Specified |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
group-authentication |
Enable/disable IKEv2 IDi group authentication. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
group-authentication-secret |
Password for IKEv2 ID group authentication. ASCII string or hexadecimal indicated by a leading 0x. |
password-3 |
Not Specified |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
authusrgrp |
Authentication user group. |
string |
Maximum length: 35 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
idle-timeout |
Enable/disable IPsec tunnel idle timeout. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
idle-timeoutinterval |
IPsec tunnel idle timeout in minutes. |
integer |
Minimum value: 5 Maximum value: 43200 |
15 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
inbound-dscp-copy |
Enable/disable copying of the DSCP values in the ESP header to the inner IP Header. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
auto-discovery-sender |
Enable/disable sending auto-discovery short-cut messages. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
auto-discovery-receiver |
Enable/disable accepting auto-discovery short-cut messages. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
auto-discovery-forwarder |
Enable/disable forwarding auto-discovery short-cut messages. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
auto-discovery-psk |
Enable/disable use of pre-shared secrets for authentication of auto-discovery tunnels. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
auto-discovery-shortcuts |
Control deletion of child short-cut tunnels when the parent tunnel goes down. |
option |
- |
independent |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
fragmentation-mtu |
IKE fragmentation MTU. |
integer |
Minimum value: 500 Maximum value: 16000 |
1200 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
childless-ike |
Enable/disable childless IKEv2 initiation (RFC 6023). |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
rekey |
Enable/disable phase1 rekey. |
option |
- |
enable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
digital-signature-auth |
Enable/disable IKEv2 Digital Signature Authentication (RFC 7427). |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
signature-hash-alg |
Digital Signature Authentication hash algorithms. |
option |
- |
sha2-512 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
rsa-signature-format |
Digital Signature Authentication RSA signature format. |
option |
- |
pkcs1 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
enforce-unique-id |
Enable/disable peer ID uniqueness check. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
cert-id-validation |
Enable/disable cross validation of peer ID and the identity in the peer's certificate as specified in RFC 4945. |
option |
- |
enable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
network-overlay |
Enable/disable network overlays. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
network-id |
VPN gateway network ID. |
integer |
Minimum value: 0 Maximum value: 255 |
0 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
loopback-asymroute |
Enable/disable asymmetric routing for IKE traffic on loopback interface. |
option |
- |
enable |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|