【隧道篇 / SSL】(6.0) ❀ 01. 通过 SSL 访问 IPsec (上) ❀ FortiGate 防火墙

已于 2022-08-01 16:42:13 修改
阅读量1.3w 收藏 50
点赞数 10
分类专栏: # SSL
于 2019-09-03 09:32:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/87902344
版权

  【简介】经常有人问可不可以通过SSL VPN到达某个防火墙,再通过防火墙与防火墙之间的IPsec VPN访问另一台防火墙后的电脑。这是可以做到的!为了做到这个功能,我们先要一步一步学习怎样配置IPsec VPN。

配置环境

  我们在广州有一台FortiGate 200D防火墙,在深圳有一台FortiGate 500D防火墙。每台防火墙都有自己的内网及宽带。

  ① 我们需要通IPsec VPN,将两台防火墙连接起来,使得内网可以互相访问。

   ② 深圳防火墙型号为500D,内网接在Port9口,内网接口IP为192.168.28.254。宽带接在Port16口。

   ③ 广州防火墙型号为200D,内网接在Port1口,内网接口IP为172.16.1.1,宽带接在wan1口。

500D 配置 - IPsec 隧道

  首先我们配置FortiGate 500D,为了容易理解,这里我会讲的比较详细一些。

   ① 选择菜单【虚拟专网】-【IPsec 隧道】。点击【新建】,开始新建IPsec VPN。

  ② 虽然用模板可以快速的建立IPsec VPN,但是为了更好的理解,我们还是输入VPN名称,选择【自定义】。

   ③ 远程网关指的是对方防火墙的外网地址。根据对方宽带情况,分别做出不同的选择。如果对方是固定IP宽带,那么我们选择【静态IP地址】,如果对方是ADSL拨号宽带,并且设置了动态DNS,那我们选择【动态DNS】,如果对方没有动态DNS,或防火墙外网还有NAT设备,那么选择【拨号用户】。

   ④ 这里广州防火墙FortiGate 200D,使用的是ADSL拨号宽带,在【网络】-【DNS】中可以设置动态DDNS,得到一个唯一域名,这个功能是免费的。

    ⑤ 在500D的IPsec VPN配置里,选择远程网关为【动态DNS】。启用FortiGuard DDNS输入200D的唯一域名。接口选择500D的外网接口。

     ⑥ 预共享密钥为自定义,只要两边防火墙的预共享密钥内容一致就可以。模式选择【野蛮】,访问类型选择【任意对端ID】。通常在两边的IP地址都为固定IP的情况,选择主模式,如果有一端的IP地址经常变动,则选择野蛮模式。

     ⑦ 在第一阶段的加密设置中,我们只保留一条加密就可以了,删除多余的加密。其它的设置保持默认。

  ⑧ 阶段2选择器中,输入本地及远端地址,允许本地哪些IP地址访问对方哪些IP地址。这里只输入了各防火墙的内网接口地址。如果有更多的地址,需要设置建立多条阶段2,后面会有介绍。点击【高级】。

  ⑨ 同样阶段2的加密设置中,也删除多余的加密,只保留一下即可。

  ⑩ 如果启用【自动协商】和【自动密钥保持存活】,则VPN会自动连接,并保持VPN状态为一直接连,不会断开。

500D 配置 - 路由

  IPsec隧道设置完成后,防火墙会产生一个虚拟接口,我们需要配置路由,指定访问哪些IP地址时走VPN虚拟接口。

  ① 选择菜单【网络】-【静态路由】,点击【新建】。

   ② 目的IP为广州防火墙200D的内网IP地址网段,接口为新建的IPsec隧道虚拟接口。

   ③ 路由建立完成。

500D 配置 - 策略

  IPsec隧道和路由都设置完成后,就要配置允许访问策略了,需要建立来回两条允许访问策略。

  ① 选择菜单【策略&对象】-【IPv4策略】,点击【新建】。

   ② 首先建立允许通过隧道访问内网策略,输入自定义策略名称,选择流入接口为IPsec 隧道虚拟接口,流出接口为内网接口,由于指定地址时只能使用地址对象,因此需要点击【加号】来新建一个地址对象。

  ③ 点击【地址】。也可以在新建策略之前就建立好地址对象。

   ④ 首先建立远程地址对象,输入名称和IP范围,由于虚拟接口已经生成,所以在接口里选择IPsec虚拟接口。表示这个IP地址是虚拟接口使用。

   ⑤ 在地址栏上可以看到新建的地址对象,选择地址对象输入。

    ⑥ 同样的方法建立本地网络地址对象。

    ⑦ 选择输入本地地址对象。

     ⑧ 服务选择【ALL】,NAT启用。点击【确认】,新建策略完成。

     ⑨ 用同样的方法新建允许内网访问IPsec隧道的策略,顺序反一下,其它的都相同。

     ⑩ 两条策略建立好后,500D的所有配置都完成了。

200D 配置

  总结配置500D的经验,我们可以在配置VPN之前,先建立需要用到的地址对象。

   ① 选择菜单【策略&对象】-【地址】。点击【新建】-【地址】。

   ② 新建一个本地地址对象。

   ③ 再建一个远程地址对象,由于还没有配置IPsec隧道,接口选择any。

   ③ 在200D上新建IPsec隧道,输入名称,选择【自定义】。

   ④ 这里就不再分段显示,直接显示设置的所有界面,这里的设置和500D大部相同,不同的地方是远程网关选择的是【静态IP地址】。IP地址为500D的外网接口地址。本地址和远程地址使用了地址对象。

   ⑤ 建立访问192.168.28.0网段时走IPsec 隧道的静态路由。

    ⑥ 建立允许通过IPsec隧道访问内网的策略。

    ⑦ 建立允许内网访问IPsec隧道的策略。200D配置完成。

IPsec VPN连接测试

  两边的防火墙配置IPsec VPN完成后,就可以连接并测试了,利用防火墙自带的Ping功能,互相Ping对方的内网地址。

   ① 由于在配置IPsec隧道的第二阶段时选择了【自动协商】,选择菜单【监视器】-【IPsec监视器】,可以看到隧道已经自动连接,也可以选择隧道后点击菜单里的【启用】。

   ② 在200D中,点击命令图标,可以弹出命令窗口。

   ③ 执行execute ping-options source 172.16.1.1 命令,指定Ping源地址为内网接口地址(只能指定接口地址,不能是其它地址),execute ping 192.168.28.254 ,从200D上Ping远程500D的内网接口地址,能够Ping通,说明VPN是通的。

   ④ 从500D指定内网接口地址,PIng远程200D的内网接口地址,也是通的,说明VPN双向都可以访问。IPsec VPN配置成功。

七、VPN技术之IPsec协议详解与SSL协议详解
锦慈的技术博客
07-10 708
AH 包头中使用 IP 协议号 51 来标识,从图中可以发现,原始数据包经过 AH 封装之后,并没有被加密,这是因为 AH 封装并不使用常规的方法去加密数据部分,而是采用隐藏数据的方法,也就是相当于加一个防改写的封条给数据,很显然,这简直就是掩耳盗铃,如果数据机密要求高,千万不要单独使用 AH 封装。从上图中也可以看出,即使是封装 ESP,也分为两种情况,因为 IPsec本身分为两种模式,所以在进行安全封装数据包时,不同的模式,也会有不同的封装格式。在之前提到的隧道技术中,只能实现隧道而不能实现安全,而。
隧道 / SSL(7.4) 01. 只允许国内IP通过SSL VPN访问内网 FortiGate 防火墙
防火墙技术专栏
01-18 4205
SSL VPN可以让公司员工远程访问公司内网的服务器,发现有些国外IP也在尝试登录SSL VPN,领导要求,只允许国内IP可以登录SSL VPN,如何解决这个问题?
隧道 / SSL(6.0) 04. 通过 SSL 上网 FortiGate 防火墙
防火墙技术专栏
09-06 5225
  【简介】SSL可以远程登录防火墙访问防火墙后面内网的资源,是远程办公的得力工具。除了能访问防火墙内网资料外,也可以通过防火墙的宽带接口上网。
IPSec 技术详解:原理、应用与配置实践
最新发布
zero_number的博客
03-12 1656
IPSec 是一组在网络层(OSI 模型第 3 层)为 IP 数据报提供安全保护的协议和服务集合。它由 IETF(互联网工程任务组)于 1995 年首次定义(RFC 1825-1829),并在后续演进中形成了当前标准(RFC 4301-4309)。IPSec 的核心目标是通过加密、完整性校验和身份验证,确保数据在不可信网络(如公共互联网)中的安全传输。与应用层安全(如 TLS/SSL)不同,IPSec 在网络层工作,能够保护所有基于 IP 的流量,而不仅是特定应用。
防火墙最新固件6.0版本操作手册
02-20
防火墙最新固件6.0版本操作手册,这是最新的固件版本
隧道 / SSL(6.0) 02. 通过 SSL 访问 IPsec () FortiGate 防火墙
防火墙技术专栏
09-02 1万+
  【简介】经常有人问可不可以通过SSL VPN到达某个防火墙,再通过防火墙防火墙之间的IPsec VPN访问另一台防火墙后的电脑。这是可以做到的!为了做到这个功能,我们先要一步一步学习怎样配置SSL VPN。 配置环境   我们在广州有一台FortiGate 200D防火墙,需要通过SSL VPN远程访问防火墙后的电脑。   ① 通过SSL VPN,我们可以远程连接防火.........
SSL-VPNFortiClient6.0.5客户端配置
Helpdesk相关资料整理
05-16 4831
2)设置SSL VPN参数,具体包括连接名称、类型(SSL-VPN)、描述、远程网关(FGT防火墙SSL VPN服务端地址或域名)、自定义端口(根据SSLVPN的设置)、认证(登录时提示)、客户端证书(无)、遇到无效的服务器证书不提示(建议勾选),设置完成后点击“保存”5)SSL VPN连接成功(服务端设置,见前面配置案例章节)页面将显示连接名称、服务器端地址、连接时间、接收字节数、发送字节数等信息。3)点击左侧 远程访问,选择2)中建立的SSL VPN连接,输入用户名、密码,点击连接。
【高级 / HA】(6.0) 04. 优先级高的设备一直为主设备 FortiGate 防火墙
防火墙技术专栏
09-24 2356
【简介】虽然在配置HA的时候,要求的是两台型号一样、固件版本一样的防火墙,并且建议是同一批出厂的防火墙。但是如果是不同批次,新旧程度不完全一样也是可以的。大多数的人会有这种想法,那就是比较新的防火墙做主机,比较旧的防火墙做备机,即使切换到旧的备机,新的防火墙重新工作后,也希望能再切回到新防火墙上去。...
FortiGate防火墙IPsec ***抓包诊断命令
weixin_34009794的博客
01-31 3531
① sniffer抓包确认UDP 500/4500 双方通信是否正常diagnose sniffer packet any "host 119.201.75.34 and ( port 500 or port 4500)" 4(这里IP119.201.75.34指的是对方公网IP。UDP 500 或 UDP 4500 这两个端口是IPsec ***协商协议IKE会使用的端口...
【管理 / 登录】 06. macOS下使用USB配置线登录 FortiGate 防火墙
防火墙技术专栏
01-03 1153
防火墙上都会配有CONSOLE接口,包装里都会配置一根USB配置线,通过这个接口和这根线,我们可以用命令的方式登录防火墙。随着苹果电脑的普及,我们来学习如何在macOS中使用USB配置线登录防火墙
【管理 / 恢复】 08. 文件权限对macOS下用命令刷新固件的影响 FortiGate 防火墙
防火墙技术专栏
01-05 851
虽然上文章中成功的在macOS下刷新了固件,但是很多小伙伴在实际操作中碰到了无法成功的状况,我们来看看最常见的一种。
IPSEC网络设置
09-03
IPSEC网络设置说明。含基础设置和IPSEC设置说明,CL代码示例
【高级 / IPv6(7.6) 01. 宽带IPv6 - 光猫配置 FortiGate 防火墙
防火墙技术专栏
01-25 2015
大部分运营商的宽带都支持IPv6,但是很多朋友却无法获得IPv6地址,有很大一部分原因是光猫没有启用IPv6,这里演示如何修改光猫配置,并验证IPv6固定IP和ADSL拨号宽带是否正常。
隧道 / WAN优化】(7.4) 01. 启动WAN优化 FortiGate 防火墙
防火墙技术专栏
05-06 1370
几乎所有的人都知道,防火墙自带的硬盘是用来保存日志,以方便在出现问题时能找到原因。但是很少的人知道,防火墙自带的硬盘其实还有另一个功能,那就是用于WAN优化。
FortiGate防火墙部署SSL接入功能
wendr的博客
10-16 1108
网安运营 - 建设 第一章 FortiGate防火墙部署SSLVPN接入功能
Fortinet 防火墙 IPSEC配置
weixin_61960865的博客
06-20 3397
由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。9、以上是隧道的建立,因为ipsec是基于路由或基于策略实现的所有还需要写好进出口的安全策略,以及出口的静态路由。(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是。
华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置
热门推荐
lehe99的专栏
11-03 2万+
华为防火墙USG6000V示例配置,展示了访问防火墙、内网服务器、外网和外网访问内网服务器(NAT服务器)的配置
【交换(6.0) 01.防火墙连接 FortiSwitch 交换机
防火墙技术专栏
07-03 8068
【简介】FortiSwitch是的产换机产品,它最大的优点是可以由防火墙统一管理,在一个窗口下就可以用图形介面管理整个局域网络的FortiSwitch交换机。
FortiGate防火墙配置SSL***用户登录_5.4版本
weixin_34375233的博客
01-31 1984
1. 添加用户,之后点击确认输入用户名密码联系信息保持默认即可额外信息保持默认即可2. 添加用户组,并将我们之前定义好的test001用户加入到该组的成员,之后点击确认3. 定义SSL***用户需要访问的内网服务器网段(这里假设我们的内网地址段为192.168.1.0/24),之后点击确认4. 定义SSL***用户获取的地址(系统默认已经包含了这个地址命名和定义,可以根据实际...
配置401E防火墙,使用网线连接管理电脑到 FortiGate 的 MGMT但无法访问 **https://192.168.1.99**
02-07
### 解决方案 对于FortiGate 401E防火墙,在尝试通过浏览器访问管理界面遇到困难时,可能的原因涉及多个方面。具体来说: #### 接口配置确认 确保用于管理的计算机已正确连接至MGMT端口,并且该端口确实被分配了IP地址`192.168.1.99`[^1]。 #### 浏览器设置检查 验证所使用的Web浏览器是否支持HTTPS协议并能正常解析指定URL `https://192.168.1.99/` 。某些情况下,浏览器的安全策略或插件可能会阻止此类请求。 #### SSL证书问题排查 由于默认采用的是自签名SSL证书,首次登录时浏览器会提示安全警告。需手动接受此证书才能继续加载页面。如果不这样做,则可能导致看似“无法访问”的情况发生。 #### 网络连通性测试 利用命令行工具如`ping` 或者 `telnet` 来检测从客户端到服务器之间的网络路径是否畅通无阻。注意,在执行这些操作前应先确认防火墙上已经启用了相应的服务并且允许来自本地子网内的流量到达目标端口号(通常是TCP 443)。然而需要注意的是,出于安全性考量,建议仅限于内部接口开启这类诊断功能[^3]。 #### 控制台直连调试 当远程web管理不可用时,还可以考虑使用串口线缆直接连接到设备前端板上的控制台上进行初步设定调整。这一步骤尤其适用于初次部署场景下尚未完成基本网络参数初始化的情况[^2]。 ```bash # 使用 ping 命令测试与 MGMT IP 地址 (192.168.1.99) 的连通性 $ ping 192.168.1.99 # 尝试 telnet 到 HTTPS 默认端口 443, 查看是否有开放 $ telnet 192.168.1.99 443 ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值