fortinet.fortios.fortios_vpn_ipsec_phase1_interface 模块 – 在 Fortinet 的 FortiOS 和 FortiGate 中配置 VPN 远程网关。
注意
此模块是 fortinet.fortios 集合 (版本 2.3.8) 的一部分。
如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查是否已安装它,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install fortinet.fortios。您需要其他要求才能使用此模块,请参阅 要求 获取详细信息。
要在 playbook 中使用它,请指定:fortinet.fortios.fortios_vpn_ipsec_phase1_interface。
fortinet.fortios 2.0.0 中的新增功能
概要
此模块能够通过允许用户设置和修改 vpn_ipsec 功能和 phase1_interface 类别来配置 FortiGate 或 FortiOS (FOS) 设备。示例包括所有参数,在使用前需要将值调整到数据源。在 FOS v6.0.0 上进行了测试。
要求
执行此模块的主机需要以下要求。
ansible>=2.15
参数
参数 |
注释 |
|---|---|
基于令牌的身份验证。从 Fortigate 的 GUI 生成。 |
|
启用/禁用任务的日志记录。 选项
|
|
要操作的成员属性路径。 如果有多个属性,则用斜杠字符分隔。 标有 member_path 的参数对于执行成员操作是合法的。 |
|
在指定的属性路径下添加或删除成员。 当指定 member_state 时,将忽略 state 选项。 选项
|
|
指示是创建还是删除对象。 选项
|
|
虚拟域,在先前定义的虚拟域中。vdom 是 FortiGate 的虚拟实例,可以将其配置并用作不同的单元。 默认值: |
|
配置 VPN 远程网关。 |
|
启用/禁用 RADIUS 计费记录的验证。 选项
|
|
启用/禁用自动添加远程网关的路由。 选项
|
|
启用/禁用控制对等目标选择器的路由添加。 选项
|
|
ADDKE1 组。 选项
|
|
ADDKE2 组。 选项
|
|
ADDKE3 组。 选项
|
|
ADDKE4 组。 选项
|
|
ADDKE5 组。 选项
|
|
ADDKE6 组。 选项
|
|
ADDKE7 组。 选项
|
|
启用/禁用用作聚合成员。 选项
|
|
聚合的链路权重。 |
|
启用/禁用通过配置方法将 IP 分配给 IPsec 接口。 选项
|
|
分配 IP 地址的方法。 选项
|
|
身份验证方法。 选项
|
|
身份验证方法(远程端)。 选项
|
|
XAuth 密码(最多 35 个字符)。 |
|
XAuth 用户名。 |
|
身份验证用户组。来源 user.group.name。 |
|
允许/阻止设置不同网络 ID 之间的快捷隧道。 选项
|
|
启用/禁用转发自动发现快捷消息。 选项
|
|
快捷报价消息之间的间隔(秒)(1-300)。 |
|
启用/禁用使用预共享密钥来验证自动发现隧道的身份。 选项
|
|
启用/禁用接受自动发现快捷消息。 选项
|
|
启用/禁用发送自动发现快捷消息。 选项
|
|
控制父隧道关闭时子快捷隧道的删除。 选项
|
|
启用/禁用 IKE SA 协商的自动启动。 选项
|
|
在回退到下一个传输协议之前的超时时间(秒)。 |
|
启用/禁用 FortiClient 的 Azure AD 自动连接。 选项
|
|
指示统一客户端备份网关地址。 |
|
备份网关的地址。 |
|
统一客户端连接后应显示的消息。 |
|
启用/禁用对等 ID 和对等方证书中指定的身份的交叉验证(如 RFC 4945 中所述)。 选项
|
|
启用/禁用证书身份上的域剥离。 选项
|
|
启用/禁用对等用户名和对等方证书中指定的身份的交叉验证。 选项
|
|
CA 证书信任库。 选项
|
|
最多 4 个已签名的个人证书的名称。 |
|
证书名称。来源 vpn.certificate.local.name。 |
|
启用/禁用无子 IKEv2 初始化(RFC 6023)。 选项
|
|
启用/禁用允许 VPN 客户端在没有流量时启动隧道。 选项
|
|
启用/禁用允许 VPN 客户端在没有流量时保持隧道连接。 选项
|
|
启用/禁用 FortiClient 离线会话恢复。当启用 FortiClient 的笔记本电脑关闭或进入睡眠/休眠模式时,启用此功能允许 FortiClient 在此期间保持隧道,并允许用户在设备唤醒时立即恢复使用 IPsec 隧道。 选项
|
|
客户端 PC 进入睡眠模式或临时丢失网络连接后,VPN 客户端可以使用隧道恢复的最大时间(秒)(120 - 172800)。 |
|
注释。 |
|
用于出站接口流量的默认路由网关的 IPv4 地址。 |
|
默认网关路由的优先级。优先级数字越高,表示路由越不优先。 |
|
设备 ID 通知携带的设备 ID。 |
|
启用/禁用设备 ID 通知。 选项
|
|
在 DHCP6 请求中使用的中继代理 IPv6 链路地址。 |
|
在 DHCP 请求的 giaddr 字段中使用的中继代理网关 IP 地址。 |
|
DH 组。 选项
|
|
启用/禁用 IKEv2 数字签名身份验证 (RFC 7427)。 选项
|
|
IKE 添加的路由的距离 (1 - 255)。 |
|
DNS 服务器模式。 选项
|
|
指示统一客户端有关单个默认 DNS 域的信息。 |
|
死对等点检测模式。 选项
|
|
DPD 重试尝试次数。 |
|
DPD 重试间隔。 |
|
启用/禁用 IKEv2 EAP 身份验证。 选项
|
|
如果对等方是 FortiClient 端点,则启用/禁用除 EAP 之外的对等证书身份验证。 选项
|
|
从 EAP 身份验证中排除的对等组。来源 user.peergrp.name。 |
|
IKEv2 EAP 对等身份类型。 选项
|
|
启用/禁用 EMS 序列号验证。 选项
|
|
GRE/VXLAN 隧道的本地 IPv4 地址。 |
|
GRE/VXLAN 隧道的本地 IPv6 地址。 |
|
GRE/VXLAN 隧道的远程 IPv4 地址。 |
|
GRE/VXLAN 隧道的远程 IPv6 地址。 |
|
启用/禁用 GRE/VXLAN/VPNID 封装。 选项
|
|
GRE/VXLAN 隧道地址的来源。 选项
|
|
启用/禁用对等 ID 唯一性检查。 选项
|
|
扩展序列号 (ESN) 协商。 选项
|
|
启用/禁用与对等 FortiGate 设备交换设备标识符,以便 FortiManager 使用 VPN 监控数据。 选项
|
|
启用/禁用交换 IPsec 接口 IP 地址。 选项
|
|
与对等方交换的 IPv4 地址。 |
|
与对等方交换的 IPv6 地址。 |
|
在将 IKE/IPsec 流量回退到 tcp 之前的超时时间(秒)。 |
|
基本前向纠错分组的数量 (1 - 20)。 |
|
前向纠错编码/解码算法。 选项
|
|
启用/禁用出站 IPsec 流量的前向纠错。 选项
|
|
SD-WAN 健康检查。来源 system.sdwan.health-check.name。 |
|
启用/禁用入站 IPsec 流量的前向纠错。 选项
|
|
前向纠错 (FEC) 映射配置文件。来源 vpn.ipsec.fec.name。 |
|
丢弃前向纠错分组之前的超时时间(毫秒)(1 - 1000)。 |
|
冗余前向纠错分组的数量 (里德-所罗门码为 1-5,异或为 1)。 |
|
发送前向纠错分组之前的超时时间(毫秒)(1 - 1000)。 |
|
启用/禁用 FGSP IPsec 的隧道 IPsec 同步。 选项
|
|
启用/禁用 FortiClient 强制执行。 选项
|
|
启用/禁用 Fortinet ESP 封装。 选项
|
|
启用/禁用在重传时分片 IKE 消息。 选项
|
|
IKE 分片 MTU (500 - 16000)。 |
|
启用/禁用 IKEv2 IDi 组身份验证。 选项
|
|
IKEv2 ID 组身份验证的密码。ASCII 字符串或以 0x 开头的十六进制表示。 |
|
启用/禁用 IPsec HA 的序列号提前跳转。 选项
|
|
启用/禁用 IPsec 隧道空闲超时。 选项
|
|
IPsec 隧道空闲超时时间(分钟)(5 - 43200)。 |
|
IKE 协议版本。 选项
|
|
启用/禁用将 ESP 头中的 dscp 复制到内部 IP 头。 选项
|
|
启用/禁用允许统一客户端访问本地 LAN。 选项
|
|
本地物理、聚合或 VLAN 出站接口。来源 system.interface.name。 |
|
用空格分隔的一个或多个用引号括起来的内部域名。 |
|
域名。 |
|
IP 地址重用延迟间隔(秒)(0 - 28800)。 |
|
确定 IP 数据包是在 IPsec 封装之前还是之后分片。 选项
|
|
用于 VPN 接口的 IP 版本。 选项
|
|
IPv4 DNS 服务器 1。 |
|
IPv4 DNS 服务器 2。 |
|
IPv4 DNS 服务器 3。 |
|
IPv4 范围的结束。 |
|
配置方法 IPv4 排除范围。 |
|
IPv4 排除范围的结束。 |
|
ID。参见 <a href=’#notes’>注释</a>。 |
|
IPv4 排除范围的开始。 |
|
IPv4 地址名称。来源 firewall.address.name firewall.addrgrp.name。 |
|
IPv4 子网掩码。 |
|
不应通过 IPsec 隧道发送的 IPv4 子网。来源 firewall.address.name firewall.addrgrp.name。 |
|
IPv4 分割包含子网。来源 firewall.address.name firewall.addrgrp.name。 |
|
IPv4 范围的开始。 |
|
WINS 服务器 1。 |
|
WINS 服务器 2。 |
|
启用/禁用使用模式配置分配的 IPv6 地址的最后 8 个字节自动生成 IPv6 链路本地地址。 选项
|
|
IPv6 DNS 服务器 1。 |
|
IPv6 DNS 服务器 2。 |
|
IPv6 DNS 服务器 3。 |
|
IPv6 范围的结束。 |
|
配置方法 IPv6 排除范围。 |
|
IPv6 排除范围的结束。 |
|
ID。参见 <a href=’#notes’>注释</a>。 |
|
IPv6 排除范围的开始。 |
|
IPv6 地址名称。来源 firewall.address6.name firewall.addrgrp6.name。 |
|
IPv6 前缀。 |
|
不应通过 IPsec 隧道发送的 IPv6 子网。来源 firewall.address6.name firewall.addrgrp6.name。 |
|
IPv6 分割包含子网。来源 firewall.address6.name firewall.addrgrp6.name。 |
|
IPv6 范围的开始。 |
|
NAT-T 保持活动间隔。 |
|
在阶段 1 加密密钥过期之前等待的时间(秒)。 |
|
密钥管理服务服务器。来源 vpn.kmip-server.name。 |
|
VPN 隧道底层链路成本。 |
|
本地网关外部接口的 IPv4 地址。 |
|
本地网关外部接口的 IPv6 地址。 |
|
本地 ID。 |
|
本地 ID 类型。 选项
|
|
启用/禁用环回接口上 IKE 流量的非对称路由。 选项
|
|
添加包含根据流量而不同的配置子集的选择器。 选项
|
|
用于建立安全通道的 ID 保护模式。 选项
|
|
启用/禁用配置方法。 选项
|
|
启用/禁用模式配置客户端使用自定义阶段 2 选择器。 选项
|
|
作为主接口备份的 IPsec 接口。来源 vpn.ipsec.phase1-interface.name。 |
|
作为主接口备份的 IPsec 接口。 |
|
作为主接口备份的 IPsec 接口。来源 vpn.ipsec.phase1-interface.name。 |
|
主接口重新建立连接后等待恢复的时间(秒)。 |
|
主接口重新建立连接后回退到主接口的时间。 |
|
主接口重新建立连接时的恢复时间方法。 选项
|
|
主接口重新建立连接后恢复的星期几。 选项
|
|
在激活此接口之前必须降级的链路最小数量。零 (0) 表示所有链路都必须关闭才能激活此接口。 |
|
IPsec 远程网关名称。 |
|
启用/禁用 NAT 穿越。 选项
|
|
IKE SA 协商超时时间(秒)(1 - 300)。 |
|
启用/禁用内核设备创建。 选项
|
|
VPN 网关网络 ID。 |
|
启用/禁用网络覆盖。 选项
|
|
启用/禁用卸载 NPU。 选项
|
|
启用/禁用 IPsec 接口上的数据包分发 (RPS)。 选项
|
|
启用/禁用静态隧道的 IPsec 被动模式。 选项
|
|
接受此对等证书。来源 user.peer.name。 |
|
接受此对等证书组。来源 user.peergrp.name。 |
|
接受此对等身份。 |
|
接受此对等类型。 选项
|
|
启用/禁用 IKEv2 后量子预共享密钥 (PPK)。 选项
|
|
IKEv2 后量子预共享密钥身份。 |
|
IKEv2 后量子预共享密钥(ASCII 字符串或以 0x 开头的十六进制编码)。 |
|
IKE 添加的路由的优先级 (1 - 65535)。 |
|
阶段 1 建议。 选项
|
|
PSK 身份验证的预共享密钥(ASCII 字符串或以 0x 开头的十六进制编码)。 |
|
远程端PSK认证的预共享密钥(ASCII字符串或以0x开头的十六进制编码)。 |
|
启用/禁用量子密钥分发 (QKD) 服务器。 选项
|
|
量子密钥分发 (QKD) 服务器配置文件。来源 vpn.qkd.name。 |
|
启用/禁用IKE SA生命周期到期后的重新认证。 选项
|
|
启用/禁用阶段1密钥重新协商。 选项
|
|
远程网关外部接口的IPv4地址。 |
|
远程网关外部接口的IPv6地址。 |
|
与特定国家/地区关联的IPv6地址。 |
|
范围内的最后一个IPv6地址。 |
|
设置IPv6远程网关地址匹配的类型。 选项
|
|
范围内的第一个IPv6地址。 |
|
IPv6地址和前缀。 |
|
与特定国家/地区关联的IPv4地址。 |
|
范围内的最后一个IPv4地址。 |
|
设置IPv4远程网关地址匹配的类型。 选项
|
|
范围内的第一个IPv4地址。 |
|
IPv4地址和子网掩码。 |
|
IPv4 ZTNA 姿态标签。 |
|
地址名称。来源 firewall.address.name firewall.addrgrp.name。 |
|
远程网关的域名。例如,name.ddns.com。 |
|
数字签名认证RSA签名格式。 选项
|
|
启用/禁用IKEv2 RSA签名哈希算法覆盖。 选项
|
|
启用/禁用在VPN客户端上保存XAuth用户名和密码。 选项
|
|
启用/禁用发送证书链。 选项
|
|
启用/禁用IPsec隧道共享空闲超时。 选项
|
|
数字签名认证哈希算法。 选项
|
|
拆分包含的服务。来源 firewall.service.group.name firewall.service.custom.name。 |
|
使用Suite-B。 选项
|
|
设置IKE传输协议。 选项
|
|
接口共享时的隧道搜索方法。 选项
|
|
远程网关类型。 选项
|
|
启用/禁用对Cisco UNITY配置方法扩展的支持。 选项
|
|
拨号对等用户的用户组名称。来源 user.group.name。 |
|
VXLAN隧道的VNI。 |
|
GUI VPN向导类型。 选项
|
|
XAuth类型。 选项
|
注释
注意
旧版fortiosapi已弃用,httpapi是运行playbook的首选方法。
该模块支持check_mode。
示例
- name: Configure VPN remote gateway.
fortinet.fortios.fortios_vpn_ipsec_phase1_interface:
vdom: "{{ vdom }}"
state: "present"
access_token: "<your_own_value>"
vpn_ipsec_phase1_interface:
acct_verify: "enable"
add_gw_route: "enable"
add_route: "disable"
addke1: "0"
addke2: "0"
addke3: "0"
addke4: "0"
addke5: "0"
addke6: "0"
addke7: "0"
aggregate_member: "enable"
aggregate_weight: "1"
assign_ip: "disable"
assign_ip_from: "range"
authmethod: "psk"
authmethod_remote: "psk"
authpasswd: "<your_own_value>"
authusr: "<your_own_value>"
authusrgrp: "<your_own_value> (source user.group.name)"
auto_discovery_crossover: "allow"
auto_discovery_forwarder: "enable"
auto_discovery_offer_interval: "5"
auto_discovery_psk: "enable"
auto_discovery_receiver: "enable"
auto_discovery_sender: "enable"
auto_discovery_shortcuts: "independent"
auto_negotiate: "enable"
auto_transport_threshold: "15"
azure_ad_autoconnect: "enable"
backup_gateway:
-
address: "<your_own_value>"
banner: "<your_own_value>"
cert_id_validation: "enable"
cert_peer_username_strip: "disable"
cert_peer_username_validation: "none"
cert_trust_store: "local"
certificate:
-
name: "default_name_40 (source vpn.certificate.local.name)"
childless_ike: "enable"
client_auto_negotiate: "disable"
client_keep_alive: "disable"
client_resume: "enable"
client_resume_interval: "7200"
comments: "<your_own_value>"
default_gw: "<your_own_value>"
default_gw_priority: "0"
dev_id: "<your_own_value>"
dev_id_notification: "disable"
dhcp_ra_giaddr: "<your_own_value>"
dhcp6_ra_linkaddr: "<your_own_value>"
dhgrp: "1"
digital_signature_auth: "enable"
distance: "15"
dns_mode: "manual"
domain: "<your_own_value>"
dpd: "disable"
dpd_retrycount: "3"
dpd_retryinterval: "<your_own_value>"
eap: "enable"
eap_cert_auth: "enable"
eap_exclude_peergrp: "<your_own_value> (source user.peergrp.name)"
eap_identity: "use-id-payload"
ems_sn_check: "enable"
encap_local_gw4: "<your_own_value>"
encap_local_gw6: "<your_own_value>"
encap_remote_gw4: "<your_own_value>"
encap_remote_gw6: "<your_own_value>"
encapsulation: "none"
encapsulation_address: "ike"
enforce_unique_id: "disable"
esn: "require"
exchange_fgt_device_id: "enable"
exchange_interface_ip: "enable"
exchange_ip_addr4: "<your_own_value>"
exchange_ip_addr6: "<your_own_value>"
fallback_tcp_threshold: "15"
fec_base: "10"
fec_codec: "rs"
fec_egress: "enable"
fec_health_check: "<your_own_value> (source system.sdwan.health-check.name)"
fec_ingress: "enable"
fec_mapping_profile: "<your_own_value> (source vpn.ipsec.fec.name)"
fec_receive_timeout: "50"
fec_redundant: "1"
fec_send_timeout: "5"
fgsp_sync: "enable"
forticlient_enforcement: "enable"
fortinet_esp: "enable"
fragmentation: "enable"
fragmentation_mtu: "1200"
group_authentication: "enable"
group_authentication_secret: "<your_own_value>"
ha_sync_esp_seqno: "enable"
idle_timeout: "enable"
idle_timeoutinterval: "15"
ike_version: "1"
inbound_dscp_copy: "enable"
include_local_lan: "disable"
interface: "<your_own_value> (source system.interface.name)"
internal_domain_list:
-
domain_name: "<your_own_value>"
ip_delay_interval: "0"
ip_fragmentation: "pre-encapsulation"
ip_version: "4"
ipv4_dns_server1: "<your_own_value>"
ipv4_dns_server2: "<your_own_value>"
ipv4_dns_server3: "<your_own_value>"
ipv4_end_ip: "<your_own_value>"
ipv4_exclude_range:
-
end_ip: "<your_own_value>"
id: "113"
start_ip: "<your_own_value>"
ipv4_name: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
ipv4_netmask: "<your_own_value>"
ipv4_split_exclude: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
ipv4_split_include: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
ipv4_start_ip: "<your_own_value>"
ipv4_wins_server1: "<your_own_value>"
ipv4_wins_server2: "<your_own_value>"
ipv6_auto_linklocal: "enable"
ipv6_dns_server1: "<your_own_value>"
ipv6_dns_server2: "<your_own_value>"
ipv6_dns_server3: "<your_own_value>"
ipv6_end_ip: "<your_own_value>"
ipv6_exclude_range:
-
end_ip: "<your_own_value>"
id: "129"
start_ip: "<your_own_value>"
ipv6_name: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
ipv6_prefix: "128"
ipv6_split_exclude: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
ipv6_split_include: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
ipv6_start_ip: "<your_own_value>"
keepalive: "10"
keylife: "86400"
kms: "<your_own_value> (source vpn.kmip-server.name)"
link_cost: "0"
local_gw: "<your_own_value>"
local_gw6: "<your_own_value>"
localid: "<your_own_value>"
localid_type: "auto"
loopback_asymroute: "enable"
mesh_selector_type: "disable"
mode: "aggressive"
mode_cfg: "disable"
mode_cfg_allow_client_selector: "disable"
monitor: "<your_own_value> (source vpn.ipsec.phase1-interface.name)"
monitor_dict:
-
name: "default_name_151 (source vpn.ipsec.phase1-interface.name)"
monitor_hold_down_delay: "0"
monitor_hold_down_time: "<your_own_value>"
monitor_hold_down_type: "immediate"
monitor_hold_down_weekday: "everyday"
monitor_min: "0"
name: "default_name_157"
nattraversal: "enable"
negotiate_timeout: "30"
net_device: "enable"
network_id: "0"
network_overlay: "disable"
npu_offload: "enable"
packet_redistribution: "enable"
passive_mode: "enable"
peer: "<your_own_value> (source user.peer.name)"
peergrp: "<your_own_value> (source user.peergrp.name)"
peerid: "<your_own_value>"
peertype: "any"
ppk: "disable"
ppk_identity: "<your_own_value>"
ppk_secret: "<your_own_value>"
priority: "1"
proposal: "des-md5"
psksecret: "<your_own_value>"
psksecret_remote: "<your_own_value>"
qkd: "disable"
qkd_profile: "<your_own_value> (source vpn.qkd.name)"
reauth: "disable"
rekey: "enable"
remote_gw: "<your_own_value>"
remote_gw_country: "<your_own_value>"
remote_gw_end_ip: "<your_own_value>"
remote_gw_match: "any"
remote_gw_start_ip: "<your_own_value>"
remote_gw_subnet: "<your_own_value>"
remote_gw_ztna_tags:
-
name: "default_name_188 (source firewall.address.name firewall.addrgrp.name)"
remote_gw6: "<your_own_value>"
remote_gw6_country: "<your_own_value>"
remote_gw6_end_ip: "<your_own_value>"
remote_gw6_match: "any"
remote_gw6_start_ip: "<your_own_value>"
remote_gw6_subnet: "<your_own_value>"
remotegw_ddns: "<your_own_value>"
rsa_signature_format: "pkcs1"
rsa_signature_hash_override: "enable"
save_password: "disable"
send_cert_chain: "enable"
shared_idle_timeout: "enable"
signature_hash_alg: "sha1"
split_include_service: "<your_own_value> (source firewall.service.group.name firewall.service.custom.name)"
suite_b: "disable"
transport: "udp"
tunnel_search: "selectors"
type: "static"
unity_support: "disable"
usrgrp: "<your_own_value> (source user.group.name)"
vni: "0"
wizard_type: "custom"
xauthtype: "disable"
返回值
常见的返回值已在此处记录,以下是此模块特有的字段
键 |
描述 |
|---|---|
FortiGate镜像的版本号 返回:始终 示例: |
|
上次用于将内容置入FortiGate的方法 返回:始终 示例: |
|
FortiGate在上次应用的操作中给出的最后结果 返回:始终 示例: |
|
上次调用FortiGate时使用的主密钥(ID) 返回:成功 示例: |
|
用于完成请求的表的名称 返回:始终 示例: |
|
用于完成请求的表的路径 返回:始终 示例: |
|
内部版本号 返回:始终 示例: |
|
设备的序列号 返回:始终 示例: |
|
操作结果的指示 返回:始终 示例: |
|
使用的虚拟域 返回:始终 示例: |
|
FortiGate的版本 返回:始终 示例: |