fortinet.fortios.fortios_vpn_ipsec_phase1 模块 – 在 Fortinet 的 FortiOS 和 FortiGate 中配置 VPN 远程网关。
注意
此模块是 fortinet.fortios 集合 (版本 2.3.8) 的一部分。
如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用: ansible-galaxy collection install fortinet.fortios。您需要其他要求才能使用此模块,请参阅 要求 了解详细信息。
要在 playbook 中使用它,请指定: fortinet.fortios.fortios_vpn_ipsec_phase1。
fortinet.fortios 2.0.0 中的新增功能
概要
此模块能够通过允许用户设置和修改 vpn_ipsec 功能和 phase1 类别来配置 FortiGate 或 FortiOS (FOS) 设备。示例包括所有参数,在使用前需要将值调整到数据源。已在 FOS v6.0.0 上测试。
要求
执行此模块的主机需要以下要求。
ansible>=2.15
参数
参数 |
注释 |
|---|---|
基于令牌的身份验证。从 FortiGate 的 GUI 生成。 |
|
启用/禁用任务的日志记录。 选项
|
|
要操作的成员属性路径。 如果有多个属性,则用斜杠字符分隔。 标有 member_path 的参数对于执行成员操作是合法的。 |
|
在指定的属性路径下添加或删除成员。 指定 member_state 时,将忽略 state 选项。 选项
|
|
指示是创建还是删除对象。 选项
|
|
虚拟域,在之前定义的那些域中。vdom 是 FortiGate 的虚拟实例,可以将其配置并用作不同的单元。 默认值: |
|
配置 VPN 远程网关。 |
|
启用/禁用 RADIUS 计费记录的验证。 选项
|
|
启用/禁用自动添加远程网关的路由。 选项
|
|
启用/禁用控制对对等目标选择器的路由添加。 选项
|
|
ADDKE1 组。 选项
|
|
ADDKE2 组。 选项
|
|
ADDKE3 组。 选项
|
|
ADDKE4 组。 选项
|
|
ADDKE5 组。 选项
|
|
ADDKE6 组。 选项
|
|
ADDKE7 组。 选项
|
|
启用/禁用通过配置方法将 IP 分配给 IPsec 接口。 选项
|
|
分配 IP 地址的方法。 选项
|
|
身份验证方法。 选项
|
|
身份验证方法(远程端)。 选项
|
|
XAuth 密码(最多 35 个字符)。 |
|
XAuth 用户名。 |
|
身份验证用户组。来源 user.group.name。 |
|
启用/禁用自动启动 IKE SA 协商。 选项
|
|
在回退到下一个传输协议之前的超时时间(以秒为单位)。 |
|
启用/禁用 FortiClient 的 Azure AD 自动连接。 选项
|
|
指示统一客户端备份网关地址。 |
|
备份网关地址。 |
|
连接后统一客户端应显示的消息。 |
|
启用/禁用对等 ID 和对等方证书中指定的标识的交叉验证(如 RFC 4945 中所述)。 选项
|
|
启用/禁用证书标识上的域剥离。 选项
|
|
启用/禁用对等用户名和对等方证书中指定的标识的交叉验证。 选项
|
|
CA 证书信任库。 选项
|
|
最多 4 个已签名的个人证书的名称。 |
|
证书名称。来源 vpn.certificate.local.name。 |
|
启用/禁用无子 IKEv2 初始化(RFC 6023)。 选项
|
|
启用/禁用允许 VPN 客户端在没有流量时启动隧道。 选项
|
|
启用/禁用允许 VPN 客户端在没有流量时保持隧道连接。 选项
|
|
启用/禁用恢复脱机 FortiClient 会话。当启用 FortiClient 的笔记本电脑关闭或进入睡眠/休眠模式时,启用此功能允许 FortiClient 在此期间保持隧道连接,并允许用户在设备唤醒时立即恢复使用 IPsec 隧道。 选项
|
|
客户端 PC 进入睡眠模式或临时失去网络连接后,VPN 客户端可以使用隧道恢复的最大时间(以秒为单位)(120 - 172800)。 |
|
注释。 |
|
设备 ID 通知携带的设备 ID。 |
|
启用/禁用设备 ID 通知。 选项
|
|
在 DHCP6 请求中使用的中继代理 IPv6 链路地址。 |
|
在 DHCP 请求的 giaddr 字段中使用的中继代理网关 IP 地址。 |
|
DH 组。 选项
|
|
启用/禁用 IKEv2 数字签名身份验证(RFC 7427)。 选项
|
|
IKE 添加的路由的距离 (1 - 255)。 |
|
DNS 服务器模式。 选项
|
|
指示统一客户端单个默认 DNS 域。 |
|
死对等检测模式。 选项
|
|
DPD 重试次数。 |
|
DPD 重试间隔。 |
|
启用/禁用 IKEv2 EAP 身份验证。 选项
|
|
如果对端是 FortiClient 端点,则启用/禁用除 EAP 之外的对等证书身份验证。 选项
|
|
从 EAP 身份验证中排除的对等组。来源 user.peergrp.name。 |
|
IKEv2 EAP 对等身份类型。 选项
|
|
启用/禁用 EMS 序列号验证。 选项
|
|
启用/禁用对等 ID 唯一性检查。 选项
|
|
扩展序列号 (ESN) 协商。 选项
|
|
启用/禁用与对端 FortiGate 设备交换设备标识符,以便 FortiManager 使用 VPN 监控数据。 选项
|
|
回退 IKE/IPsec 流量到 TCP 之前的超时时间(秒)。 |
|
基本前向纠错分组数 (1 - 20)。 |
|
前向纠错编码/解码算法。 选项
|
|
启用/禁用出站 IPsec 流量的前向纠错。 选项
|
|
SD-WAN 健康检查。来源 system.sdwan.health-check.name。 |
|
启用/禁用入站 IPsec 流量的前向纠错。 选项
|
|
前向纠错 (FEC) 映射配置文件。来源 vpn.ipsec.fec.name。 |
|
丢弃前向纠错分组之前的超时时间(毫秒)(1 - 1000)。 |
|
冗余前向纠错分组数 (里德-所罗门码为 1 - 5,异或码为 1)。 |
|
发送前向纠错分组之前的超时时间(毫秒)(1 - 1000)。 |
|
启用/禁用 FGSP IPsec 的隧道 IPsec 同步。 选项
|
|
启用/禁用 FortiClient 强制执行。 选项
|
|
启用/禁用 Fortinet ESP 封装。 选项
|
|
启用/禁用重新传输时对 IKE 消息进行分片。 选项
|
|
IKE 分片 MTU (500 - 16000)。 |
|
启用/禁用 IKEv2 IDi 组身份验证。 选项
|
|
IKEv2 ID 组身份验证的密码。ASCII 字符串或以 0x 开头的十六进制表示。 |
|
启用/禁用 IPsec HA 的序列号跳跃。 选项
|
|
启用/禁用 IPsec 隧道空闲超时。 选项
|
|
IPsec 隧道空闲超时时间(分钟)(5 - 43200)。 |
|
IKE 协议版本。 选项
|
|
启用/禁用将 ESP 头中的 DSCP 复制到内部 IP 头。 选项
|
|
启用/禁用允许统一客户端访问本地 LAN。 选项
|
|
本地物理、聚合或 VLAN 出站接口。来源 system.interface.name。 |
|
用空格分隔的多个内部域名(用引号括起来)。 |
|
域名。 |
|
IP 地址重用延迟时间间隔(秒)(0 - 28800)。 |
|
IPv4 DNS 服务器 1。 |
|
IPv4 DNS 服务器 2。 |
|
IPv4 DNS 服务器 3。 |
|
IPv4 范围的结束地址。 |
|
配置方法 IPv4 排除范围。 |
|
IPv4 排除范围的结束地址。 |
|
ID。参见 <a href=’#notes’>备注</a>。 |
|
IPv4 排除范围的起始地址。 |
|
IPv4 地址名称。来源 firewall.address.name firewall.addrgrp.name。 |
|
IPv4 子网掩码。 |
|
不应通过 IPsec 隧道发送的 IPv4 子网。来源 firewall.address.name firewall.addrgrp.name。 |
|
IPv4 分割包含子网。来源 firewall.address.name firewall.addrgrp.name。 |
|
IPv4 范围的起始地址。 |
|
WINS 服务器 1。 |
|
WINS 服务器 2。 |
|
启用/禁用使用 mode-cfg 分配的 IPv6 地址的最后 8 个字节自动生成 IPv6 链路本地地址。 选项
|
|
IPv6 DNS 服务器 1。 |
|
IPv6 DNS 服务器 2。 |
|
IPv6 DNS 服务器 3。 |
|
IPv6 范围的结束地址。 |
|
配置方法 IPv6 排除范围。 |
|
IPv6 排除范围的结束地址。 |
|
ID。参见 <a href=’#notes’>备注</a>。 |
|
IPv6 排除范围的起始地址。 |
|
IPv6 地址名称。来源 firewall.address6.name firewall.addrgrp6.name。 |
|
IPv6 前缀。 |
|
不应通过 IPsec 隧道发送的 IPv6 子网。来源 firewall.address6.name firewall.addrgrp6.name。 |
|
IPv6 分割包含子网。来源 firewall.address6.name firewall.addrgrp6.name。 |
|
IPv6 范围的起始地址。 |
|
NAT-T 保活间隔。 |
|
等待时间(秒),之后阶段 1 加密密钥将过期。 |
|
密钥管理服务服务器。来源 vpn.kmip-server.name。 |
|
VPN 隧道底层链路成本。 |
|
本地 VPN 网关。 |
|
本地 ID。 |
|
本地 ID 类型。 选项
|
|
启用/禁用环回接口上 IKE 流量的非对称路由。 选项
|
|
添加包含根据流量而定的配置子集的选择器。 选项
|
|
用于建立安全通道的 ID 保护模式。 选项
|
|
启用/禁用配置方法。 选项
|
|
启用/禁用 mode-cfg 客户端使用自定义阶段 2 选择器。 选项
|
|
IPsec 远程网关名称。 |
|
启用/禁用 NAT 穿越。 选项
|
|
IKE SA 协商超时时间(秒)(1 - 300)。 |
|
VPN 网关网络 ID。 |
|
启用/禁用网络叠加。 选项
|
|
启用/禁用卸载 NPU。 选项
|
|
接受此对等证书。来源 user.peer.name。 |
|
接受此对等证书组。来源 user.peergrp.name。 |
|
接受此对等身份。 |
|
接受此对等类型。 选项
|
|
启用/禁用 IKEv2 后量子预共享密钥 (PPK)。 选项
|
|
IKEv2 后量子预共享密钥身份。 |
|
IKEv2 后量子预共享密钥(ASCII 字符串或以 0x 开头的十六进制编码)。 |
|
IKE 添加的路由的优先级 (1 - 65535)。 |
|
阶段 1 建议。 选项
|
|
PSK 身份验证的预共享密钥(ASCII 字符串或以 0x 开头的十六进制编码)。 |
|
远程端 PSK 身份验证的预共享密钥(ASCII 字符串或以 0x 开头的十六进制编码)。 |
|
启用/禁用使用量子密钥分发 (QKD) 服务器。 选项
|
|
量子密钥分发 (QKD) 服务器配置文件。来源 vpn.qkd.name。 |
|
启用/禁用 IKE SA 生命周期到期后重新身份验证。 选项
|
|
启用/禁用阶段 1 密钥重新协商。 选项
|
|
远程 VPN 网关。 |
|
与特定国家/地区关联的 IPv6 地址。 |
|
范围内的最后一个 IPv6 地址。 |
|
设置 IPv6 远程网关地址匹配的类型。 选项
|
|
范围内的第一个 IPv6 地址。 |
|
IPv6 地址和前缀。 |
|
与特定国家/地区关联的 IPv4 地址。 |
|
范围内的最后一个 IPv4 地址。 |
|
设置 IPv4 远程网关地址匹配的类型。 选项
|
|
范围内的第一个 IPv4 地址。 |
|
IPv4 地址和子网掩码。 |
|
IPv4 ZTNA 姿态标签。 |
|
地址名称。来源 firewall.address.name firewall.addrgrp.name。 |
|
远程网关的域名。例如,name.ddns.com。 |
|
数字签名身份验证 RSA 签名格式。 选项
|
|
启用/禁用 IKEv2 RSA 签名哈希算法覆盖。 选项
|
|
启用/禁用在 VPN 客户端上保存 XAuth 用户名和密码。 选项
|
|
启用/禁用发送证书链。 选项
|
|
启用/禁用 IPsec 隧道共享空闲超时。 选项
|
|
数字签名身份验证哈希算法。 选项
|
|
拆分包含的服务。来源 firewall.service.group.name firewall.service.custom.name。 |
|
使用 Suite-B。 选项
|
|
设置 IKE 传输协议。 选项
|
|
远程网关类型。 选项
|
|
启用/禁用对 Cisco UNITY 配置方法扩展的支持。 选项
|
|
拨号对等用户的组名。来源 user.group.name。 |
|
GUI VPN 向导类型。 选项
|
|
XAuth 类型。 选项
|
备注
注意
旧版 fortiosapi 已弃用,httpapi 是运行剧本的首选方式。
该模块支持 check_mode。
示例
- name: Configure VPN remote gateway.
fortinet.fortios.fortios_vpn_ipsec_phase1:
vdom: "{{ vdom }}"
state: "present"
access_token: "<your_own_value>"
vpn_ipsec_phase1:
acct_verify: "enable"
add_gw_route: "enable"
add_route: "disable"
addke1: "0"
addke2: "0"
addke3: "0"
addke4: "0"
addke5: "0"
addke6: "0"
addke7: "0"
assign_ip: "disable"
assign_ip_from: "range"
authmethod: "psk"
authmethod_remote: "psk"
authpasswd: "<your_own_value>"
authusr: "<your_own_value>"
authusrgrp: "<your_own_value> (source user.group.name)"
auto_negotiate: "enable"
auto_transport_threshold: "15"
azure_ad_autoconnect: "enable"
backup_gateway:
-
address: "<your_own_value>"
banner: "<your_own_value>"
cert_id_validation: "enable"
cert_peer_username_strip: "disable"
cert_peer_username_validation: "none"
cert_trust_store: "local"
certificate:
-
name: "default_name_31 (source vpn.certificate.local.name)"
childless_ike: "enable"
client_auto_negotiate: "disable"
client_keep_alive: "disable"
client_resume: "enable"
client_resume_interval: "7200"
comments: "<your_own_value>"
dev_id: "<your_own_value>"
dev_id_notification: "disable"
dhcp_ra_giaddr: "<your_own_value>"
dhcp6_ra_linkaddr: "<your_own_value>"
dhgrp: "1"
digital_signature_auth: "enable"
distance: "15"
dns_mode: "manual"
domain: "<your_own_value>"
dpd: "disable"
dpd_retrycount: "3"
dpd_retryinterval: "<your_own_value>"
eap: "enable"
eap_cert_auth: "enable"
eap_exclude_peergrp: "<your_own_value> (source user.peergrp.name)"
eap_identity: "use-id-payload"
ems_sn_check: "enable"
enforce_unique_id: "disable"
esn: "require"
exchange_fgt_device_id: "enable"
fallback_tcp_threshold: "15"
fec_base: "10"
fec_codec: "rs"
fec_egress: "enable"
fec_health_check: "<your_own_value> (source system.sdwan.health-check.name)"
fec_ingress: "enable"
fec_mapping_profile: "<your_own_value> (source vpn.ipsec.fec.name)"
fec_receive_timeout: "50"
fec_redundant: "1"
fec_send_timeout: "5"
fgsp_sync: "enable"
forticlient_enforcement: "enable"
fortinet_esp: "enable"
fragmentation: "enable"
fragmentation_mtu: "1200"
group_authentication: "enable"
group_authentication_secret: "<your_own_value>"
ha_sync_esp_seqno: "enable"
idle_timeout: "enable"
idle_timeoutinterval: "15"
ike_version: "1"
inbound_dscp_copy: "enable"
include_local_lan: "disable"
interface: "<your_own_value> (source system.interface.name)"
internal_domain_list:
-
domain_name: "<your_own_value>"
ip_delay_interval: "0"
ipv4_dns_server1: "<your_own_value>"
ipv4_dns_server2: "<your_own_value>"
ipv4_dns_server3: "<your_own_value>"
ipv4_end_ip: "<your_own_value>"
ipv4_exclude_range:
-
end_ip: "<your_own_value>"
id: "91"
start_ip: "<your_own_value>"
ipv4_name: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
ipv4_netmask: "<your_own_value>"
ipv4_split_exclude: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
ipv4_split_include: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
ipv4_start_ip: "<your_own_value>"
ipv4_wins_server1: "<your_own_value>"
ipv4_wins_server2: "<your_own_value>"
ipv6_auto_linklocal: "enable"
ipv6_dns_server1: "<your_own_value>"
ipv6_dns_server2: "<your_own_value>"
ipv6_dns_server3: "<your_own_value>"
ipv6_end_ip: "<your_own_value>"
ipv6_exclude_range:
-
end_ip: "<your_own_value>"
id: "107"
start_ip: "<your_own_value>"
ipv6_name: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
ipv6_prefix: "128"
ipv6_split_exclude: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
ipv6_split_include: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
ipv6_start_ip: "<your_own_value>"
keepalive: "10"
keylife: "86400"
kms: "<your_own_value> (source vpn.kmip-server.name)"
link_cost: "0"
local_gw: "<your_own_value>"
localid: "<your_own_value>"
localid_type: "auto"
loopback_asymroute: "enable"
mesh_selector_type: "disable"
mode: "aggressive"
mode_cfg: "disable"
mode_cfg_allow_client_selector: "disable"
name: "default_name_126"
nattraversal: "enable"
negotiate_timeout: "30"
network_id: "0"
network_overlay: "disable"
npu_offload: "enable"
peer: "<your_own_value> (source user.peer.name)"
peergrp: "<your_own_value> (source user.peergrp.name)"
peerid: "<your_own_value>"
peertype: "any"
ppk: "disable"
ppk_identity: "<your_own_value>"
ppk_secret: "<your_own_value>"
priority: "1"
proposal: "des-md5"
psksecret: "<your_own_value>"
psksecret_remote: "<your_own_value>"
qkd: "disable"
qkd_profile: "<your_own_value> (source vpn.qkd.name)"
reauth: "disable"
rekey: "enable"
remote_gw: "<your_own_value>"
remote_gw_country: "<your_own_value>"
remote_gw_end_ip: "<your_own_value>"
remote_gw_match: "any"
remote_gw_start_ip: "<your_own_value>"
remote_gw_subnet: "<your_own_value>"
remote_gw_ztna_tags:
-
name: "default_name_154 (source firewall.address.name firewall.addrgrp.name)"
remote_gw6_country: "<your_own_value>"
remote_gw6_end_ip: "<your_own_value>"
remote_gw6_match: "any"
remote_gw6_start_ip: "<your_own_value>"
remote_gw6_subnet: "<your_own_value>"
remotegw_ddns: "<your_own_value>"
rsa_signature_format: "pkcs1"
rsa_signature_hash_override: "enable"
save_password: "disable"
send_cert_chain: "enable"
shared_idle_timeout: "enable"
signature_hash_alg: "sha1"
split_include_service: "<your_own_value> (source firewall.service.group.name firewall.service.custom.name)"
suite_b: "disable"
transport: "udp"
type: "static"
unity_support: "disable"
usrgrp: "<your_own_value> (source user.group.name)"
wizard_type: "custom"
xauthtype: "disable"
返回值
常见返回值已在 此处 记录,以下是此模块独有的字段
键 |
描述 |
|---|---|
FortiGate镜像的版本号 返回:始终 示例: |
|
上次用于将内容置备到 FortiGate 的方法 返回:始终 示例: |
|
FortiGate 在上次应用的操作中给出的最后结果 返回:始终 示例: |
|
上次调用 FortiGate 时使用的主密钥 (ID) 返回:成功 示例: |
|
用于完成请求的表的名称 返回:始终 示例: |
|
用于完成请求的表的路径 返回:始终 示例: |
|
内部修订号 返回:始终 示例: |
|
设备的序列号 返回:始终 示例: |
|
操作结果指示 返回:始终 示例: |
|
使用的虚拟域 返回:始终 示例: |
|
FortiGate 的版本 返回:始终 示例: |