【隧道篇 / IPsec】(7.0) ❀ 02. 两端都是ADSL拨号宽带建立IPsec连接 (点对点) ❀ FortiGate 防火墙

已于 2022-08-01 09:29:31 修改
阅读量3.4k 收藏 7
点赞数 2
分类专栏: # IPsec 文章标签: IPsec 隧道 ADSL 拨号 变更
于 2021-04-12 11:51:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/115612285
版权

  【简介】上一篇文章我们介绍了在两边都有可以远程的公网IP的情况下,用向导快速的建立了IPsec安全隧道。但是如果用的是ADSL拨号宽带,每次连接都会变更IP,那么IPsec肯定会经常断开,有什么好办法解决吗?

  DDNS

  ADSL拨号宽带经常会变更IP地址,这样每次变更,连接好的VPN就会断开,特别是两端都是ADSL,就更麻烦了。

  ① 防火墙的接口模式有个【PPPoE】选择,专用用来配置ADSL拨号宽带上网,连接成功后,会显示当前获得的IP地址。【更新】按钮可以重新获取IP地址。默认管理距离为5,如果有其它固定IP宽带的话,建议将管理距离改为10,这样多条宽带可以同时使用。

  ② FortiGate防火墙有个很方便的功能,FortiGuard DDNS,可以将公网IP转换成固定的域名。选择菜单【网络】-【DNS】,启用【FortiGuard DDNS】,接口选择ADSL拨号接口。(前提是这个ADSL拨号宽带生成的IP地址可以远程访问,上一篇文章有介绍测试方法。)共有三个服务器,任选一个,输入独特的位置,会自动成生域名,而这个域名会绑定接口的IP地址。

  ③ Ping域名,能够得到601E Wan1口ADSL拨号宽带的公网IP,并且能Ping通,那么这个域名就是有效的。

  ④ 分公司80E,也是一样设置DDNS,得到一个域名。注意这个只有是ADSL拨号宽带才有配置意义。固定IP或内网地址都没有意义。

  ⑤ Ping分公司80E的域名,可以得到公网IP,并可以Ping通,说明域名有效。

  ⑥ 如果变更或重新获取了公网的IP地址,DDNS会及时更新吗?

  ⑦ 可以看到即使IP地址变更了,域名仍然有效,而且时间很短。DDNS目前使用是有条件的,一个是固件版本在6.4及以上,或者设备在服务期内。

  总部601E防火墙IPsec更改

  上篇文章,我们直接用公网IP配置了向导,使IPsec连接成功,但是今天又断开了,原因是宽带是ADSL拨号,变更了IP地址。

  ① 登录总部的FortiGate 601E防火墙,选择菜单【VPN】-【IPsec 隧道】,可以看到上次用向导建立的隧道是断开状态。这是因为两边使用的都是ADSL拨号宽带,有一端的公网IP变更了,隧道自然也就断了。选择隧道,点击【编辑】。

   ② 由于隧道是用向导建立的,很多地方不能直接改动,因此点击【转换为自定议隧道】,这样可对所有配置进行修改。

  ③ 首先编辑网络配置。

  ④ 我们知道分公司的80E使用的是ADSL拨号宽带,也配置了DDNS,因此在总部的601E配置里,对端网关我们选择【动态DNS】。

  ⑤ 输入分公司80E配置的DDNS域名,注意不要加http以及端口号。只是域名。另外对等体状态探测选择【空闲】。隧道内没有流量时,FortiGate会发送DPD探测。当两端的宽带都是可变更IP时,这可以使得IP变更时立即发现。当然启用【空闲】检测会耗费一些资源。

  ⑥ 编辑认证,模式默认为【主模式】,这里更改为【野蛮】。之所以选择野蛮模式,是因为对端IP是动态时,野蛮模式可以使用对端IP进行认证。而主模式无法使用对方ID进行认证。

  ⑦ 访问类型选择【特定对等体ID】,对等体ID输入80E上设置的ID号。有没有觉得和预共享密钥很像,这个ID都是自己定义的,只是两边自定义自己的,而预共享密钥两边是相同的。

  ⑧ 编辑阶段1提案,本地ID输入自定义的ID号,这个要在对方防火墙配置时输入的。默认有四层加密认证,实际上是用不到这么多的,加密复杂了也会影响到访问速度。我们删除最下面的三层,只留下第一层就可以了。

  ⑨ 在阶段2选择器中,点击隧道右边的笔图标,进入编辑页面。

  ⑩ 弹开页面里点击左下角的【高级】。

  ⑾ 在阶段2里,同样不需要这么多加密认证,只保留第一行,其它的删除。启用【自动协商】和【自动密钥保持存活】。启用自动协商的好处是,即使没有流量通过隧道,隧道仍然保持启动状态。因为FortiGate会周期性地通过隧道发送保持活动数据包。启动自动协商后,自动密钥保持存活也就自动启动。

  点击【确认】,总部601E的IPsec修改就完成了。

  分公司80E防火墙IPsec更改

  分公司也是ADSL拨号宽带,也配置了DDNS,因此修改和总部类似。

  ① 登录分公司80E防火墙,编辑IPsec隧道,在网络设置中对端网关选择【动态DNS】,输入总部601E的DDNS域名,对等体状态探测选择【空闲】。

  ② 编辑认证界面,模式选择【野蛮】,访问类型选择【特定对等体ID】,输入601E里设置的对等体ID。

  ③ 阶段1设置,删除多余的加密认证,只留第一行,输入本地ID,这个在601E设置时有用到。

  ④ 阶段2设置,删除多于的加密认证,只保留第一行,启用【自动协商】,自动密钥保持存活也自动启用。

  点击【确认】,分公司80E的IPsec修改也完成了。

  动态网关

  我们可以发现,当ADSL拨号宽带重新获取了新IP地址时,网关地址也改变了。由于ADSL拨号在FortiGate防火墙是自动生成网关的,因此我们还要做一个设置,就是设置动态网关。

  ① 登录总部601E防火墙,选择【网络】-【静态路由】,点击【新建】。

  ② 启用【自动网关检索】,选择宽带接口,网关地址默认选择【动态】,并显示当前的网关IP地址。点击【确认】。

  ③ 静态路由表上会多一出条有动态网关的路由,而这个路由也会取代ADSL拨号自动产生的路由。

  ④ 这里就忽略操作步骤,在分公司80E上也建立一条动态网关路由。

  验证

  两边防火墙IPsec配置都修改完成,我们看看成果。

  ① 查看IPsec监控,可以看到IPsec隧道是连接成功的。这是因为我们启用了【自动协商】,即使隧道没有流量,也是会保持启动状态。

  ② 为了证明即使ADSL宽带的公网IP变更也不会对IPsec安全隧道产生很大的影响,我们从分公司电脑长Ping总部服务器。

  ③ 手动更新分公司ADSL拨号宽带的公网IP。

  ④ IPsec隧道经过短暂的断开后,又自动恢复连接了。

  当两边的防火墙都重新获取IP地址后,也仍通过DDNS功能,快速的、自动的恢复IPsec隧道的连接,不需要为人干预,保证了业务的畅通。

飞塔老梅子
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DDNS动态域名无固定IPSEC配置实战
悦分享
10-09 384
企业业务环境下,注册公司域名比如www.abc.com注册的地址是1.1.1.1,如果企业接口地址发生了变化,变为了1.1.1.2后注册的www.abc.com无法对应到1.1.1.1IP地址。当访问一个站点,如果站点是固定IP,用户可以直接通过固定IP方式进行访问对应站点,也可以通过域名方式进行访问,无需通过DDNS进行动态注册。在域名购买服务商进行静态绑定。先注册DDNS账户,添加DDNS服务器的信息,一旦出口地址发生了变化,会通知DDNS服务器,更新后的DNS提交给全网的DNS-Server。
HCIE-Security Day31:IPSec:实验(六)配置PPPoE拨号分支与总部建立IPSec隧道示例
小梁的博客
03-22 1269
需求和拓扑 FWA为企业分支网关,FWB为企业总部网关,分支与总部通过公网建立通信。分支网关通过PPPoE方式接入公网,PPPoE_Server为分支网关分配IP地址的服务器。 企业希望对分支与总部之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支网关作为PPPoE客户端获取IP地址,总部无法获取其IP地址,所以总部网关只能响应分支网关发起的IPSec协商。 操作步骤 1、配置接口地址和安全区...
山石网科PPPOE+IPsecVPN配置注意事项
最新发布
normanhere的博客
04-27 360
隧道 有2种配置方法,一种是不配置IP地址,另外一种是配置IP地址 ,特别需要注意,如果配置IP地址(跑路由)那么隧道绑定这里也需要填写对端隧道口的路由信息(就是截图里面的网关必须写)其次分支机构因为是PPPOE拨号 ,所以 需要将自己指定为发起者 并且关闭对端存活检测(由于PPPOE分配到IP一来会发生变化,而来可能不是公网。同样的,如果隧道口配置了IP地址 则写静态路由的时候需要指定下一跳,如果不写隧道IP地址,下一跳空着。通过排查,首先排除隧道内NAT 详见图片1-2。最后安全策略放行,流量就通了。
防火墙配置PPPoE拨号与总部建立IPSec VPN隧道
m0_62913761的博客
11-08 556
IPSec模板方式只能响应对端发起的协商求,不能主动发起协商。但是在分出接口配置安全策略时加上auto-neg后,不需要流量触发直接建立IPSec隧道。定义那些流量需要保护,制定了IKE SA使用的参数和IPSec SA使用的参数。定义对端IKE发起协商的地址,设置身份认证信息密码,定义该隧道使用的安全提议。解决网络传输的安全隐患,总部分公司出差人员等访问总部网络资源的问题。注意在拨号口捕获去往总部的流量拨号网络所有的流量都从拨号口发出。设置数据流,捕获到去往总部的地址送往IPSec VPN隧道
H3C-IPSec方案部署
Galdys的专栏
11-23 2698
IPSec方案部署 通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程中有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。 一、              常规IPSec方案 上图所示网络环境是最基本的IPSec应用场景: 1.       响应方无论在何种环境都是固定的公网地址; 2.       发起方也是固定的公网地址
隧道 / IPsec】(5.6) 08. DDNS更改IP地址后仍然保持IPsec正常连接 FortiGate 防火墙
防火墙技术专栏
04-13 3693
如何在动态DDNS更改IP地址后仍然保持IPsec正常连接
【华为】IPsec VPN 实验配置(动态地址接入)
2301_77161465的博客
01-08 2539
文章是关于IPsec VPN的 实验配置,场景是在一段IP地址是固定和另一端IP地址不固定的情况下的,那里面的配置思路会和两端地址固定的场景有一些不一样,文章里面都有注释,会更好去理解啦等等
FortiGate Security7.0配置手册.rar
06-11
FortiGate Security7.0配置手册.rar
fortigate与juniper_IPSEC配置手册.docx
06-23
FortiGate 与Juniper 配置标准/FortiGate 与Juniper 配置标准
Fortigate最佳实践-虚拟连接对.pdf
05-12
Fortigate防火墙-透明部署虚拟链接对部署最佳实践。路由和透明模式是FortiGate 的两种运行模式,路由模式根据IP 包进行路由转发,而透明模式则根据以太帧头作转发决定。一进一出的这样的透明需求的组网推荐使用虚拟...
FortiGate &IPsec Troubleshooting专题培训
02-23
IPSEC配置详解 Debug 抓包分析详解
Fortigate飞塔防火墙6.2虚机版本(VMware)FGT_VM64-v6-build0866-FORTINET.out.ovf
08-27
Fortigate飞塔防火墙6.2虚机版本(VMware) 最新VMware虚机版本,下载吧,很好的
H3C 830ipsec配置实例无固定IP
江湖小飞将的博客
11-20 5360
acl advanced 3600 rule 0 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.10.0 0.0.0.255 rule 10 permit ip source 172.2.2.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 1
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8306
路由器基础(十二):IPSEC VPN配置
实验(7.2) 12. 站对站安全隧道 - 仅一方发起连接(FortiGate-IPsec 远程访问
防火墙技术专栏
06-13 1109
上一实验发现,两端都是可以远程的公网IP的话,两端防火墙都可以发出连接请求,并且都能够连通。这样的好处是安全隧道不用随时在线,只在有需求时才由发起方进行连接。但是现实中很多情况下只有一端公网IP可以远程,那么还能用IPsec安全隧道吗?
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 8620
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
山石与飞塔建立ipsec时候在Phase2丢包处理
weixin_41903258的博客
03-20 423
注意:IPSec 隧道建立后如果 1800 秒的时间内持续有数据传输,阶段 2 将到期执行密钥协商过程;如果 1800 秒的时间内没有数据传输,阶段 2 将停止密钥协商过程,同时 IPSec 隧道也会 down。keylifekbsPhase2流量的关键生命周期字节数(5120 - 4294967295)。飞塔的keylifeseconds 默认为43200,keylifekbs默认为5120。
隧道 / IPsec】(5.2) 03. IPsec - 拨号宽带 to 固定IP宽带 (策略模式) FortiGate 防火墙
防火墙技术专栏
09-06 9587
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙防火墙之间建立IPsec可以很好满足要求,固定IP宽带ADSL拨号宽带都很常见,这里介绍两种不同宽带连接IPsec的配置方法。 IPsec的作用 IPsec作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一......
一端是固定ip,另一端ADSL的环境下如何建立IPSEC×××
weixin_33895016的博客
04-15 1272
项目需求:1、上海总部192.168.2.0段需要与武汉分公司192.168.3.0之间可以互访2、开发运维人员在家可以通过***连接到上海总部处理问题当前环境:需求分析:1、两个不同地点办公室互通,可以采用IKE协商方式的IPsec×××来实施2、在家办公可以使用ipsec也可以使用L2TP的方式,本次是为了进一步了解×××,所有搭建了L2TP具体配置:(首先保证每个路由器...
python宽带拨号
08-14
在Python中实现宽带拨号需要进行一些配置。首先,你需要在网络设置中创建一个新的连接。你可以通过以下步骤来完成这个配置: 1. 右键点击桌面右下角的网络图标,打开网络和共享中心。 2. 在打开的网络和Internet中,选择设置新连接。 3. 在设置连接或网络向导中,选择连接到Internet,并进入新连接的设置。 4. 在连接到Internet对连接方式进行选择,一般来说宽带是使用PPPoE模式。 5. 在选择之后,需要设置用户名、密码和连接名称。确保输入正确的凭据。 这样你就可以配置好宽带拨号连接了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Python 实现PPPOE自动拨号](https://blog.csdn.net/qq_35911309/article/details/119841897)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值