环境:
tj、zibo两个Fortinet防火墙,wan口为公网IP。
防火墙IOS版本:v5.4.2,build1100 (GA)
需求:
tj和zibo需要建立ipsec ***,tj的172.18.0.1要和zibo的172.20.0.1互相通讯
配置步骤:
tj端配置
1. tj端创建loopback口,并分别配置成172.18.0.1/32和172.20.0.1/32,开启ping功能。
2. 创建ipsec隧道
2.1 新建***
2.2 填写远程网关地址以及对应的接口、预共享密钥、开启NAT穿越、IKE版本和模式(需要和对端保持一致)
2.3 配置第一阶段的加密和认证方式、DH组、秘钥生存时间。(需要和对端保持一致)
2.4 配置第二阶段的本地地址、远程地址、加密和认证方式、DH组等相关的信息。
3 新建策略:
3.1 放行zibo172.20.0.1 到 tj 172.18.0.1 的所有流量(不启用NAT)
3.2 放行 tj172.18.0.1到 zibo 172.20.0.1的所有流量(不启用NAT)
4 设置路由
设置到172.20.0.1的静态路由:
zibo端配置
1. Zibo端创建loopback口,并配置成172.20.0.1/32,开启ping功能。
2. 创建ipsec隧道
2.1 新建***
2.2 填写远程网关地址以及对应的接口、预共享密钥、开启NAT穿越、IKE版本和模式(需要和对端保持一致)
2.3 配置第一阶段的加密和认证方式、DH组、秘钥生存时间。(需要和对端保持一致)
2.4 配置第二阶段的本地地址、远程地址、加密和认证方式、DH组等相关的信息。
3 新建策略:
3.1 放行zibo172.20.0.1 到 tj 172.18.0.1 的所有流量(不启用NAT)
3.2 放行 tj172.18.0.1到 zibo 172.20.0.1的所有流量(不启用NAT)
4 设置路由
设置到172.18.0.1的静态路由:
5 查看ipsec ***的状态
查看两台防火墙的ipsec ***状态:
tj防火墙上ipsec ***已建立连接,zibo肯定也建立了连接,看下图
6 测试两端内网连通性
从tj ping zibo
通!
从zibo ping tj
通!
注:如果ipsec ***没起来,请仔细两边的ipsec ***参数是否一致,策略是否放行!
如果ipsec ***起来了,而不能访问对方内网,请查看路由有没有添加成功!
本文pdf文档下载地址:http://down.51cto.com/data/2323122
转载于:https://blog.51cto.com/tommyking/1943742