隧道协议与封装方式

SSL VPN 使用 TLS 协议建立隧道。

Fortinet IPSec VPN 支持以下隧道和封装方式：

• 原生 ESP。
• UDP 封装。
• 使用 Fortinet 私有扩展的 TCP 封装。
• 使用 RFC 8229 的 TCP 封装。

ESP 不封装时直接使用 IP Protocol 50。ESP 封装在 UDP 中时，通常使用 UDP/500 和 UDP/4500 进行 NAT Traversal，这也是拨号 IPSec VPN 的常见方式。

在远程接入 VPN 中，FortiGate 作为拨号 IPSec Server，FortiClient 作为终端客户端时，建议使用 IKEv2，并将 IPSec 隧道配置为使用 TCP 传输，通常使用 TCP/443。这样可以让 ESP 报文封装在 TCP 中，穿越直接 IPSec 流量被运营商网络阻断或被 CGNAT 影响的环境。

该能力要求：

• IPSec 使用 IKEv2。
• FortiClient 版本为 7.4.1 或更高。
• FortiClient 侧也配置为使用 TCP 传输。

站点到站点 IPSec 中，UDP 端口可以自定义。IKEv2 站点到站点 IPSec 中，TCP 端口也可以自定义，并支持将 ESP 报文封装到 TCP 头部中。