卷土重来!这次终于把FortiGate的IPsec VPN配置成功了!

最新推荐文章于 2025-03-16 07:47:28 发布
最新推荐文章于 2025-03-16 07:47:28 发布
阅读量1.3k 收藏 19
点赞数 21
文章标签: 网络 服务器 前端 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/144798172
版权

我们之前曾经尝试使用FortiOS来配置IPsec VPN,但是打流之后的FortiOS不能转发流量了,然后我就换了FortiGate飞塔FortiGate的IPsec VPN应该怎么配?,结果还是没有成功。

又过了这么久,要不我们今天再尝试一下?

15e669d8f068bc467140119c91482a04.png

还是上次配置GENEVE的拓扑如何配置GENEVE?我们用飞塔防火墙FortiGate来演示一下,在两台防火墙下面分别挂一台PC。

我们先来配置FGT44,首先配置好互联接口。

8abdfbd3996411be346f1236e5a0fe60.png

然后,进入“VPN”下的“IPsec向导”,我们先看看飞塔默认支持的IPsec VPN是如何配置的。   

5b5603fb408a690bb703c5bab5523e2f.png

第一步是“VPN建立”。可以看到,模板类型分为【站到站】【HUB-and-SPOKE】【远程拨号】【自定义】,一般比较常用的就是【站到站】【HUB-and-SPOKE】,我们这次先测试站到站(Site to Site)。NAT配置和我们常用的场景类似,分为【站点之间没有NAT】和本端或远端在NAT设备后端,我们这次先测试【站点之间没有NAT】

使用模板进行配置时,远端设备类型仅支持FortiGate和Cisco,如果使用其他设备,需要选择“自定义”的模板类型。下面还有一个简单的示意图。

本次配置,我们只要配置一个名称就可以了。

第二步是“认证”,远程设备配置为IP地址10.23.1.3,此时默认匹配到了流出接口为port2;认证方法选择【预共享密钥】,并配置密钥。   

6e4f4caa2a1d359fadcd0bcbf6721519.png

第三步是“策略&路由”,配置要绑定策略的本地接口,以及本地子网和远端子网信息即可。在选择本地接口之后,会自动带入接口所属的子网信息。Internet访问选项中,【无】表示站点到站点设备通过VPN进行通信,但互联网访问不需要经过VPN;【本地共享】表示允许远程站点将此FortiGate用作互联网网关;【使用远程】则相反,表示此FortiGate将从源端位置引导互联网访问。   

df8cd14ddb3bf2b81005f48db38748a6.png

第四步是“回顾设置”,比较不友好的是,我们都是设置的具体地址什么的,却被设备全都转换成了对象,完全看不到内容,检查了约等于没检查。   

9abc4cf7a90fdce33804e4b1400c7bc2.png

点击“完成”之后,就可以查看对象摘要信息了。   

560fae2bab660fec85eb12387a4b6de5.png

可以看到,这里创建了以下对象:阶段1接口、阶段2接口、本地地址组、对端地址组、静态路由、黑洞路由、本地远程策略和对端到内网策略。

其中,阶段1接口位于物理接口port2下面,状态是DOWN。

9e786a9d3cef73eab7ccf5614560d22b.png    

阶段2接口即IPsec隧道接口,红色的向下箭头表示状态不活跃,也就是未协商成功。

7ea494278d2e092d2b5bc315844db4bb.png

本地地址组、对端地址组。

8076147244453d7a1b0065c37d0d7ffe.png

静态路由和黑洞路由,上次的配置就是黑洞路由自动生成失败了,我当时还没反应过来。

57132e5ac9d187004c553fcde1d85c5d.png

还有自动放通的本地远程策略和对端到内网策略,上次也没有自动生成。   

d5c5dbb10f74f01ecf6d00db5e9e13b1.png

然后,我们对照FGT44配置一下FGT45,为了方便对比,FGT45我们使用英文的配置页面。

“VPN”下的“IPsec Wizard”下面,第一步是“VPN Setup”。Template type使用默认的【Site to Site】,NAT configuration使用默认的【No NAT between sites】,Remote device type选择【FortiGate】

33244c5b28203ff1e61ebc85341cc6bc.png

第二步是“Authentication”,Remote device选择【IP Address】,Remote IP address配置为10.12.1.1,Outgoing Interface默认匹配到了port3;Authentication method选择【Pre-shared key】,并配置Pre-shared key密钥。   

cfa9c70951d410320d59379640915da1.png

第三步是“Policy & Routing”,配置要绑定策略的本地接口Local interface,以及Local subnets本地子网信息和Remote Subnets远端子网信息,Internet Access使用默认的【None】即可。   

20c0c44abcc6cf651791d1abf6cf6a58.png

第四步是“Review Settings”

2f4c475878ed1f8ac66006713e2b669e.png

点击“Create”之后,就可以查看Object Summary对象摘要信息了。

c509b77fcb13636e003429812f2dfddb.png

所有步骤全部配置完成。

同样的,我们检查一下隧道状态。

f9eb98c5508dc4da374cff1eb5268f52.png    

可以看到,一阶段状态显示已经是UP状态了,二阶段隧道状态还是DOWN的。

接下来,我们使用流量触发一下。

b355445ba2242b6f7ef68cdea3587a4a.png

经典现象,丢一个包,然后正常通信。

然后,我们再查看隧道状态,就已经是“已连接”状态了。

01a447a56c9ffe6ee6c59e07fe37b252.png

通过上面的“显示匹配日志”按钮,我们还可以查看协商过程。   

e480710188e464fd25e32126ac450039.png

可以看到,确实是配置完成之后设备自动协商了一阶段SA,在流量触发之后,才开始协商的二阶段SA。

查看接口状态,我们发现隧道接口已经UP,但是没有IP地址。

d9828a1534d90fd028548b53b5483685.png

那此时我们trace一下路径会是什么样呢?   

2e6ee5f92225a4381ba6e3dae4dd5497.png

可以看到,路径显示正确,第二跳显示的是port1的接口地址。

那如果我们给IPsec隧道接口配置上IP地址呢?

56bca5cfa4ed5c718a7ce87da3fee9c8.png

看一看到,这里的IP地址仅支持32位掩码,所以两端的隧道接口本身就不在一个网段。

3de07074fe8e3ee1dbb59efa96396043.png

不过,此时再次trace路径,发现第二跳显示的就是隧道接口的IP地址了。   

好吧,确实还是挺简单的,就是上次的操作为什么会卡在创建黑洞路由那一步呢?   

***推荐阅读***

Geneve:通用网络虚拟化封装

如何配置GENEVE?我们用飞塔防火墙FortiGate来演示一下

简单了解一下FortiFirewall、FortiGate和FortiOS的试用授权情况

捡了一台FortiGate-VM64,怎么用起来呢?

来吧,给大家分享一下最新版本的FortiGate-VM64,带试用授权

手把手教你在天翼云部署一台FortiGate云主机

FortiGate配置$$し νρη

华为路由器配置基于路由的IPSec VPN

快来看啊,华为路由器配置GRE over IPSec隧道案例来了!

简简单单,H3C路由器和Juniper vSRX防火墙对接IPsec VPN这么配就成了!

Fortinet 防火墙 IPSEC配置
weixin_61960865的博客
06-20 3425
由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。9、以上是隧道的建立,因为ipsec是基于路由或基于策略实现的所有还需要写好进出口的安全策略,以及出口的静态路由。(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是。
防火墙和paloalto防火墙构建ipsec
weixin_44675999的博客
07-15 2678
一、配置fortigate防火墙1.防火墙配置上网功能1.1配置fortigate的wan1接口IP为100.100.100.2/24VLAN交换internal,IP地址为192.168.156.99/24。开启DHCP分配IP地址范围为192.168.156.110-192.168.156.2101.2配置访问互联网的缺省路由1.3配置访问互联网的安全策略2.配置Paloalto防火墙IPSECVPN
IPSEC网络设置
09-03
IPSEC网络设置说明。含基础设置和IPSEC设置说明,CL代码示例
FortiGate手工对接穿越NAT的IPsec VPN
最新发布
衡水铁头哥的博客
03-16 1120
【阶段2提案】中,我们配置加密算法使用【AES128】、认证算法使用【SHA256】,取消【启用完全前向保密】,其它选项保持默认配置即可。在【VPN创建向导】页面,模板类型选择【自定义】,点击【下一步】。【阶段1提案】部分,我们配置加密算法使用【AES128】、认证算法使用【SHA256】,DH组是必填项,我们选择DH5,其它选项保持默认配置即可。接下来,我们继续配置FGT44。【阶段1提案】部分,配置加密算法使用【AES128】、认证算法使用【SHA256】,DH组选择DH5,其它选项保持默认配置即可。
FortiGate配置IPSec
热门推荐
沉默的鹏先生
12-23 1万+
1、配置IPSec 1.1、进入VPN > IPsecWizard,选择custom。输入IPSec名称。点击Next,进行下一步配置。 1.2、填写Remote Gateway IP,选择Interface,以及pre-shared key 1.3、配置Phase1 proposal的Encryption和Authentication,选择Diffie-Hellman Group...
日常记录(一)HubSpoke下FortiGate防火墙IPsecVPN搭建
xuyuelin1996的博客
07-12 1030
多分支机构总部互联,拓扑大致为Hub-Spoke的模式,各个分部通过IPsecVPN接入总部,总部为固定IP,分部为ADSL或者固定IP。
fortigatejuniper_IPSEC配置手册.docx
06-23
FortiGate Juniper 配置标准/FortiGate Juniper 配置标准
!!!FortiGate产品比较.xlsx
09-16
FortiGate防火墙主要型号的参数指标标价表。包括:FG60D、FG100D、FG200D、FG300C
FortiGate防火墙基础配置
04-23
FortiGate防火墙USG6000典型配置案例、IPSEC配置案例、SSL VPN配置案例、通过PPPoE接入互联网、通过PPPoE接入互联网、客户端L2TP over IPSec接入(VPN Client/Windows/Mac OS/Android/iOS、应用控制(限制P2P流量、...
FortiGate 中文配置超级手册
08-25
FortiGate 中文配置超级手册,防火墙配置手册,内容丰富,涵盖FortiGate防火墙配置的各个方面,中文的
FortiGate 防火墙配置手册
12-13
防火墙配置手册,内容丰富,涵盖FortiGate防火墙配置的各个方面,中文。
火兰hillstonefortigateipsec v.p.n连接实践
d9394952的博客
12-14 1203
文章目录 参考文档: 开始配置: 一、hillstone端(服务器端) 1、配置IPSec VPN 2、网络连接:新增安全域 3、网络连接:新增隧道接口 3、配置路由:新增目的路由 4、配置策略:对端发起的访问策略(如果要双向,还要多一条本地发起的策略) 二、fortigate端(客户端) 1、配置IPSec Tunnels 2、新增IPSEC (续) (续)注意:如有多个p...
教程篇(7.4) 11. IPsec VPN & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-02 1888
在本课中,你将了解IPsec VPN的架构组件以及如何配置它们。
实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问
防火墙技术专栏
06-12 2916
前面我们实验的是FortiClient客户端防火墙进行VPN连接,现在我们要做的实验是防火墙防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。
教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
03-09 5440
在本节课中你将了解IPsec的架构组件以及如何配置它们。通过展示IPsec基础知识的能力,你将能够理解IPsec的概念和好处。
SSL-VPNFortiClient6.0.5客户端配置
Helpdesk相关资料整理
05-16 4867
2)设置SSL VPN参数,具体包括连接名称、类型(SSL-VPN)、描述、远程网关(FGT防火墙SSL VPN服务端地址或域名)、自定义端口(根据SSLVPN的设置)、认证(登录时提示)、客户端证书(无)、遇到无效的服务器证书不提示(建议勾选),设置完成后点击“保存”5)SSL VPN连接成功(服务端设置,见前面配置案例章节)页面将显示连接名称、服务器端地址、连接时间、接收字节数、发送字节数等信息。3)点击左侧 远程访问,选择2)中建立的SSL VPN连接,输入用户名、密码,点击连接。
防火墙和华三防火墙对接IPSecVPN案例
weixin_61964222的博客
11-10 2058
和华三防火墙对接IPSecVPN案例
实验篇(7.2) 08. 通过安全隧道访问内网服务器 (FortiClient-IPsec) ❀ 远程访问
防火墙技术专栏
06-07 3275
通过对SSL VPNIPsec VPN的对比,我们知道SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPNIPsec VPN对所有的IP应用均透明。我们看看怎么用FortiClient实现IPsec VPN远程访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值