Reference

https://community.fortinet.com/t5/FortiClient/Troubleshooting-Tip-Dial-up-IPsec-VPN-in-aggressive-mode-when/ta-p/189924

Situation

Using the wizard to create an IPsec FortiClient VPN.
> IKEv1 Aggressive Mode with two DH groups selected(5, 14).
> FortiClient cannot connect to IPsec Dialup VPN.
> Error Message in Diagnose Messages: "ike V=root:0:Test_Ipsec:306: compute DH shared secret request queued".

Solution

# Aggressive Mode 需要事先決定 DH 公鑰，所以只能用一個 DH group > 3個封包(phase 1)建立連線。
[1]
Choose only one DH group in phase1.

# Main Mode 先交換候選參數，再決定使用哪一組，所以可以選多個 DH group > 6個封包(phase 1)建立連線。
# IKEv2 先交換候選參數，再決定使用哪一組，所以可以選多個 DH group > 4個封包(IKEv2沒有phase2)建立連線。
[2]
Change to Main Mode or IKE2.

Troubleshooting

[1]
# 確認參數
get vpn ike gateway

[2]
# 確認phase 1有沒有起來
diagnose vpn ike gateway list name "Your_Tunnel_Name"
> status: Established(Phase1 Success)
> status: Connecting(Phase1 Fail)

[3]
# 清除舊的 debug 設定
diagnose debug reset                    

# 增加debug時間戳記
diagnose debug console timestamp enable

# 開啟 IKE 模組 debug (所有資訊)
diagnose debug application ike -1       

# 打開 debug 輸出
diagnose debug enable              

# 清除舊的 debug 設定
diagnose debug reset

# 關閉 debug 輸出
diagnose debug disable