本文档针对所有FortiGate设备配置子网重叠IPSec ×××进行说明。当配置×××互联时,如果两端的子网有重叠但又不能更改任何一端的网络就需要使用NAT的方式进行地址转换,才能让×××连通。一般情况下不建议×××的两端使用重叠地址。
环境介绍:
本文使用FortiGate500A、FortiGate310B做演示。本文支持的系统版本为FortiOS v3.0 MR3或更高。
拓扑说明:
(点击放大)
FortiGate500A:本端网络,192.168.4.0/24;对端网络,192.168.66.0/24
本端NAT后网络:192.168.65.0/24
FortiGate310B:本端网络,192.168.4.0/24;对端网络,192.168.65.0/24
本端NAT后网络:192.168.66.0/24
下面为500A的配置,310B基本相同,只是在网络地址上与500A相对应。
步骤一:配置IPSec阶段一
在虚拟专网----IPSEC----IKE中创建阶段一
IP地址:对端外网接口IP
认证方式为预共享密钥
启用NAT穿越
(点击放大)
(点击放大)
步骤二:配置IPSec阶段二
点击创建阶段二,名称为to310bp2
选择上步中的阶段一名称
(点击放大)
编写好后点击OK。
在CLI输入的命令:
config *** ipsec phase2
edit to310bp2
set use-natip disable
end
步骤三:配置防火墙地址
在防火墙----地址中创建两端地址
本端:192.168.4.0/24
(点击放大)
对端:192.168.66.0/24
(点击放大)
步骤四:配置防火墙策略
在防火墙----策略中点击创建
源接口:内网接口 目的接口:外网接口
源地址:in 目的地址:310b
×××通道:to310b
勾选Outbound NAT
(点击放大)
创建好后在CLI下输入命令:
config firewall policy
edit 11 注:11为该策略ID
set natip 192.168.65.0/24 将本端192.168.4.0/24转换为192.168.65.0/24出网
end
步骤五:察看×××状态
在虚拟专网----IPSEC----动态×××监视器中察看×××状态
点击启动则建立×××连接,连接建立后为绿色向上箭头
相关命令:
dia deb en
diagnose debug application ike 2 察看ike协商
diagnose *** tunnel list 察看***通道
转载于:https://blog.51cto.com/yanghuawu/662550
269
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
