【隧道篇 / IPsec】(5.6) ❀ 03. 向导快速建立点对点IPsec ❀ FortiGate 防火墙

已于 2022-08-01 09:47:19 修改
阅读量6.2k 收藏 12
点赞数 3
分类专栏: # IPsec 文章标签: IPsec 点对点
于 2019-09-24 16:49:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/78091702
版权

        【简介】前面我们分析了建立IPsec需要知道哪些条件,又知道宽带分为哪些类型,下面就可以用向导来快速建立IPsec连接了。

  测试环境

        根据前面的学习,我们知道建立IPsec连接需要知道对方的五个参数。

        如果是对方建立好了IPsec,需要我们建立对方连接,那么对方必须提供给我们五个参数:1、网关IP地址或域名;2、预共享密钥;3、第一阶段加密认证;4、允许访问的内网地址;5、第2阶段加密与认证。

        如果是两边的防火墙都由一个人来配置,那就好办了,因为条件2、3、5都可以由你来自定义,需要知道的只有双方的外网接口与地址和内网接口与地址。

        这里用两台飞塔防火墙做测试,系统版本为5.6.2,一台是FortiGate 60E,一台是FortiGate 100D。

        FortiGate 60E:      外网接口 Wan1    外网地址 113.118.168.160     内网接口 Internal    内网地址 192.168.28.0

        FortiGate 100D:   外网接口 Wan1    外网地址 183.17.227.57    内网接口 Port2    内网地址 172.18.2.0

  向导建立 - 60E

        飞塔防火墙有向导功能,可以快速的建立。

        ① 登录FortiGate 60E防火墙,选择菜单【虚拟专网】-【IPsec向导】,输入一个用户名,我们可以用两边地名或设备名做标记。这个我们假设环境是两台防火墙都是直接接外网,所以默认远端设备类型为〖FortiGate〗,NAT配置为〖站点之间没有NAT〗,后面我们会了解不同宽带方式下的连接。点击【下一个】。

        ② 我们已经知道对方外网的IP地址,因此远端设备默认为〖IP地址〗,输入对方设备(100D)的外网地址。如果本设备只接有一根宽带的话,会自动在流出接口显示出来。如果有多条宽带,就需要手动选择。输入预共享密钥,可以是任何字符或数字,只要两台设备输入的内容都相同就行。点击【下一个】。

        ③ 选择本地接口,也就是连接电脑的内网接口,会自动显示接口的IP地址网段,再手动输入需要远程访问对方的哪个网段,点击【完成】。

        ④ 显示已经建好了,创建了阶段1与阶段2接口,一条静态路由,两条一进一出的策略。还有一些地址组与地址对象。我们分析过建立需要五个参数,其中的网关IP、内网IP和密钥都有输入,但阶段1和阶段2的加密与认证没有输入,这是因为模板已经自定义了加密方式,两边都用向导创建VPN的时候加密方式都是默认且一致的。点击【显示隧道列表】。

        ⑤ 我们可以看到IPsec 隧道已经建好了,但状态为停用。

  向导建立 - 100D

        用同样的方法,我们在100D上用向导建立IPsec。

        ① 这次登录的是FortiGate 100D防火墙,选择菜单【虚拟专网】-【IPsec向导】,输入用户名,点击【下一个】。

        ② 输入ForotiGate 60E防火墙的外网IP地址,输入与60E相同的预共享密钥,点击【下一个】。

        ③ 选择本地接口,也就是连接电脑的内网接口,会自动显示接口的IP地址网段,再手动输入需要远程访问对方的哪个网段,点击【完成】。

        ④ 显示已经建好了,点击【显示隧道列表】。

        ⑤ 我们可以看到IPsec 隧道已经建好了,状态也为停用。

  启用及验证

        向导建立后,默认情况停用状态,需要手动启用。

        ① 因为两边的宽带IP地址都可以远程拨入,所以在哪边启用(拨入)都是可以的,在这还是在100D,在菜单选择【监视器】-【IPsec监视器】,选择刚才建立的IPsec 隧道,点击【启用】。

        ② 可以看到状态被成了绿色向上箭头,表示连接成功。

        ③ 在菜单选择【日志&报表】-【事件】,可以看到两个UP动作,分别是阶段1和阶段2连通了,然后每十分钟会记录一次隧道状态。

        ④ 点击右上角的命令图标,进入CLI控制台,先用execute ping-options source 命令定义源IP地址为内网接口的IP地址,再用execute ping 命令Ping 远程60E的内网接口IP地址,如果Ping通了,说明是通过隧道到达远程的60E的。

  不同宽带建

        经过前面的分析,我们知道宽带可以分为PPPoE拨号宽带和固定IP宽带,还有一种是不能远程访问的宽带,那么建时选择也是不同的。

        ① 我们在原来已经建好的基础上更改宽带,在菜单选择【虚拟专网】-【IPsec 隧道】,选择刚才建立的IPsec 隧道,点击【编辑】。

        ② 点击【转换为主定义隧道】,这样可以对隧道内容进行修改。

        ③ 点击〖网络〗右边的【编辑】。

        ④ 点击〖远程网关〗右边的下拉箭头,可以看到有三种方式:静态IP地址、拨号用户、动态DNS,分别对应三种宽带。

        ⑤ 这里列出各种类型宽带互联的设置,总有一款适合你。

        ⑥ 需要注意的是,以上各种宽带方案中,只有第一种两端都是固定IP地址的,模式可以选择为主摸式,有任何一边不能设置IP地址的,防火墙两边都必须设置为野蛮模式,否则连接不上。

飞塔技术 - 老梅子   QQ:57389522

飞塔老梅子
关注
专栏目录
Forticlient(5.6.6.1167)
04-22
飞塔(Fortigate)的客户端,版本号是5.6.6.1167,2018年4月份最新版。
FortiGate v5.6 操作说明.docx
05-17
FortiGate V5.6 纯手打文件说明书,亲手实施,编写文档。供大家参考,不足之处请指出
防火墙ipsec vpn点对多点
weixin_44732231的博客
05-31 920
华为防火墙部署ipsec vpn 点对多点,华为路由器部署isis
cisco防火墙点对点×××配置样例
weixin_34037977的博客
01-16 274
需求:两端防火墙同为cisco5500系列,实现点点×××连接,并实现nat与***共存配置实例:tunnel-group210.1.1.22typeipsec-l2ltunnel-group210.1.1.22ipsec-attributesikev1pre-shared-key***** (*为对方共享秘钥)crypto ipsec ikev1 tran...
飞塔防火墙和paloalto防火墙构建ipsec
最新发布
weixin_44675999的博客
07-15 1441
一、配置fortigate防火墙1.防火墙配置上网功能1.1配置fortigate的wan1接口IP为100.100.100.2/24VLAN交换internal,IP地址为192.168.156.99/24。开启DHCP分配IP地址范围为192.168.156.110-192.168.156.2101.2配置访问互联网的缺省路由1.3配置访问互联网的安全策略2.配置与Paloalto防火墙IPSECVPN。
思科防火墙放行公网点对点隧道协议
gsls200808的专栏
01-04 609
点对点隧道协议协议使用1723端口,思科防火墙默认没开,需要自己开启,否则会导致这个协议的流量无法通过 代码大意如下 1.进入特权模式,进入配置模式 2.建立一个流量分类的策略 名字为pptp-port 策略配置端口号等于1723 3.定义策略组,名称为pptp_policy,检查过滤pptp协议的流量 4.在出口方向启用策略 5.保存配置,防止重启防火墙后丢失配置 完整代码如...
H3C 点对点IPSec 添加NAT穿越的实验
松紧带的自习室
01-18 1522
本次实验里面有一部分我只是做了皮毛,大部分配置都是可以自己定制的,我写这文章的主要目的就是为了让新手能够有一个相对靠谱的答案,其实本次实验可能在高手看来不足为奇,但是如果是对于初学者来说,还是有难度的,特别是在NAT设备加入以后,整个的思路可能就乱了,我也乱了好久,因为我以前对什么IPSec真的一窍不通,通过这次学习,也算是了解了一部分知识。我相信只要又不断的求知欲,再难的问题也可以解决,不要怕麻烦,解决问题不麻烦那不就都成神了。
fortigate与juniper_IPSEC配置手册.docx
06-23
FortiGate 与Juniper 配置标准/FortiGate 与Juniper 配置标准
Fortigate防火墙安全加固手册.doc
05-17
FortiGate V5.6飞塔防火墙 纯手打安全加固手册,亲手实施,编写文档。供大家参考,不足之处请指出
FortiGate &IPsec Troubleshooting专题培训
02-23
IPSEC配置详解 Debug 抓包分析详解
FortiGate飞塔防火墙简明配置指南.pdf
09-29
FortiGate飞塔防火墙简明配置指南.pdf
隧道 / IPsec】(7.0) 01. 利用向导快速建立IPsec安全隧道 (点对点) FortiGate 防火墙
防火墙技术专栏
04-10 4839
很多人都认为配置防火墙IPsec VPN是一件非常复杂的工程,其实在FortiGate防火墙上进行配置,是一件无比简单的事情,因为它有很多向导把你的操作简单化了。不信?跟我来看看吧。
Internet上点对点通讯和穿越各类防火墙及网关实现的几点可行性分析
小毅的书屋
07-07 3312
转自:http://hi.baidu.com/helinzi/blog/item/d889650642db267b020881b4.html 目 录 1、 需求 3 2、 目前INTERNET网络状况分析 4 3、 针对各种接入方式实现点对点通信的可行性分析 8 4、 平滑地穿越防火墙和NAT还有代理模式的可行性分析 16 5、 总结 18 1、 需求
Fortinet 飞塔防火墙 IPSEC配置
weixin_61960865的博客
06-20 1491
由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。9、以上是隧道建立,因为ipsec是基于路由或基于策略实现的所有还需要写好进出口的安全策略,以及出口的静态路由。(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是。
隧道 / IPsec】(5.6) 05. 向导快速建立点对多IPsec FortiGate 防火墙
防火墙技术专栏
09-18 6399
【简介】前面我们已经会用向导建立点对点IPSec了,点对多的IPsec又是怎么回事呢? 点对多 VPN 如果一家企业有多家分公司,总部需要和分公司建立IPsec VPN连接,理论上来说有多少家分公司,总部就要建立多少条点对点的连接。 我们已经知道,建立一条点对点IPsec VPN,就会产生一条路由,二条策略。如果有20个分公......
IPSec VPN浅谈
码岛小哥的博客
04-30 897
ipsec VPN方面自己的一些见解。
隧道 / IPsec】(7.0) 02. 两端都是ADSL拨号宽带建立IPsec连接 (点对点) FortiGate 防火墙
防火墙技术专栏
04-12 3664
上一文章我们介绍了在两边都有可以远程的公网IP的情况下,用向导快速建立IPsec安全隧道。但是如果用的是ADSL拨号宽带,每次连接都会变更IP,那么IPsec肯定会经常断开,有什么好办法解决吗?...
教程(7.2) 17. IPsec虚拟专用网络 & FortiGate基础设施 Fortinet网络安全专家 NSE4
防火墙技术专栏
04-22 2246
在本课中,你将了解IPsec虚拟专用网络的体系结构组件以及如何配置它们。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值