【隧道篇 / IPsec】(7.0) ❀ 01. 利用向导快速建立IPsec安全隧道 (点对点) ❀ FortiGate 防火墙

飞塔老梅子

已于 2022-08-01 09:30:00 修改

阅读量4.8k

点赞数 1

分类专栏： # IPsec 文章标签：安全数据库 linux

于 2021-04-10 14:06:52 首次发布

本文链接：https://blog.csdn.net/meigang2012/article/details/115508200

版权

IPsec 专栏收录该内容

20 篇文章 22 订阅

订阅专栏

　　【简介】很多人都认为配置防火墙的IPsec VPN是一件非常复杂的工程，其实在FortiGate防火墙上进行配置，是一件无比简单的事情，因为它有很多向导把你的操作简单化了。不信？跟我来看看吧。

IPsec环境 - 宽带

　　在配置IPsec VPN之前，我们需要了解我们自身的环境以及需求，这样才能不走弯路。

　　① 我们来模拟一个最常见的环境：分公司有一台FortiGate 80E防火墙，连接一条宽带，用来上网以及和总部连VPN。总部有一台601E防火墙，有多条宽带，用来上网，连接各个分公司。

　　② 通常IPsec VPN中会有一方是发起方，一方是响应方。响应方的首要条件就是，可以通过互联网，远程访问到防火墙。我们看到总部601E有两条宽带，那么用哪条宽带连VPN的第一前题就是，哪条宽带可以远程访问。

　　③ 将两条宽带的接口管理访问启用【PING】。这样我们可以远程PING宽带接口IP，能通的，就表示可以远程访问。

　　④ 从分公司的电脑上PING总部防火墙的两条宽带接口的IP地址，电信-300M这条宽带可以PING通，而另一条宽带无法PING，也就是说，只有电信-300M这条宽带可以用来做IPsec VPN的接收方。另一条只能做发起方。

　　⑤ 同样的方法，从总部的电脑PING分部防火墙宽带接口IP。如果能PING通，那么分问的防火墙也可以作为IPsec VPN的接收方，否则只能作为发起方。

　　IPsec VPN的最佳宽带条件是：双方防火墙所连接的宽带，必须可以远程访问，也就是即可作发起方，也可以做接收方。

IPsec环境 - 访问需求

　　当分公司和总部都已经配备了FortiGate防火墙，并且都可以上网，那么我们就需要确认一下访问需求。

　　① 我们先来一个不是很复杂的环境，总部防火墙内网接口是port5，接口IP是172.16.188.1，下面接了一些电脑及服务器。

　　② 分公司防火墙内网接口是lan(port1~port4)，接口IP是192.168.200.1。

　　访问需求：分公司192.168.200.0网段的电脑需要访问总部172.16.188.0网段的电脑，总部也也同样。

IPsec VPN 向导

　　即然我们已经把需求搞清楚了，那么我们就开始配置吧。

　　① 登录总部FortiGate 601E防火墙，选择菜单【VPN】-【IPsec向导】。输入名称，模板类型默认【站到站】，也就是设备连接到设备，NAT配置默认为【站点之间没有NAT】，意思是两边的防火墙都是直接接宽带，中间没有其它设备转换，远程设备类型默认为【FortiGate】，也就是说对方设备也是FortiGate防火墙。点击【下一步】。

　　② 远程设备默认为【IP地址】，远程IP地址填写对方的宽带接口地址，也就是分公司80E的wan1接口IP地址。前面我们已经验证了这个IP地址是可以远程访问的。流出接口选择宽带接口电信-300M，另一条由于不能PING通，所以在这里不用。输入自定义的预共享密钥，随便输入什么都可以，只是对方防火墙也要输入同样的预共享密钥。点击【下一步】。

　　③ 本地接口选择port5，会自动显示本地子网，也可以修改，远程子网填写分公司的内网网段。也就是说，总部port5接口下的172.16.188.0/24网段的电脑，可以通过IPsec VPN访问192.168.200.0/24网段。本地接口、本地子网、远端子网都可以是多个。点击【下一步】。

　　④ 经过前面的三个步骤，IPsec VPN就完成了。是不是很神奇？

　　⑤ 向导给我们创建了一个IPsec VPN虚拟接口，建立了本地和对端地址组，建立了静态和黑洞路由，还建立了本地远程策略和对端到内网策略。IPsec VPN运行所需的一切都在短短的三个步骤后建立了。

　　⑥ 在分公司的FortiGate 80E防火墙，我们再用IPsec向导重做一遍。

　　⑦ 向导的认证页面，很多人都会把流出接口选择成内网或其它接口，注意啊，这里是选择宽带的接口。预共享密钥分公司和总部防火墙上都必须是一致的，错了就连不上了。

　　⑧ 本子地子和远程子网和对方601E的配置必须是完全一样的，只是顺序相反，切记不要随心所俗，想改就改，想加就加。

　　⑨ 分公司的IPsec向导也就配置完了，简单吧。

　　⑩ 分公司的80E上同样也会生成IPsec虚拟接口、地址组、路由和策略。点击【显示隧道列表】。

　　⑾ 只要分公司与总部宽带都可以远程访问，而你又严格两边配置相同（只是互为相反），再加上一点点人品，你就能看到IPsec VPN的状态是【已连接】了。

IPsec VPN 断开和启动

　　在某些时候我们需要断开IPsec VPN，或者在修改参数后要启动IPsec VPN，那在哪里操作呢？

　　① 选择菜单【仪表板】-【网络】，可以看到多个小窗格，其中就有IPsec，点击会展开到全屏。

　　② 选择隧道，点击鼠标右键，弹出菜单可以选择启用或断开隧道。

　　③ IPsec VPN分为阶段1和阶段2，可以选择只断开阶段2，阶段1会保持连接。

　　④ 也可在断开选择【Entire Tunnel】，这样阶段1和阶段2都会断开，通常有配置自动连接功能，断开一会儿后也会自动重新连接上。

　　⑤ 同理，如果IPsec VPN隧道不通，也可以在这里选择启用。注意阶段1的状态，如果这个启动了，而阶段2不通，你只要对阶段2进行排错处理，工作量会少一半。

　　⑥ IPsec隧道监控页面很不错，只是打开比较麻烦，要点多下，也可以在仪表板菜单点击【+】。

　　⑦ 弹出窗口选择网络下的【IPsec】。

　　⑧ 点击【添加监控】。

　　⑨ 菜单里出现【IPsec监控】，只要点击一下就出来了IPsec监控界面，是不是很方便?

IPsec VPN 隧道验证

　　由于内网的环境各有各的不同，验证IPsec VPN隧道通不通，最简单最直接的方法就是在这台防火墙上Ping对方防火墙。

　　① 和判断宽带IP是否可以远程一样，我们需要在总部防火墙的内网接口上启用【PING】协议。

　　② 分公司防火墙也一样，内网接口启用【PING】协议。

　　③ 分公司防火墙点击右上角【>_】图标，打开命令窗口。

　　④ 用execute ping-options source IP地址命令，定义源IP。这个IP一定是防火墙上的接口IP，不可以是其它的。然后用execute ping IP地址命令Ping对方防火墙内网接接口IP，这里Ping通了，说明80E访问601E没有问题，再Ping对方电脑IP，说明80E可以到对方电脑。