设置IPSec动态DNS ×××

本文档针对IPsec ××× 中的动态DNS ××× 进行说明,即两台FortiGate设备之间通过×××建立通信通道,让FortiGate保护的服务器或主机可以互相访问。其中一台FortiGate使用静态IP而另一台FortiGate使用静态域名和动态IP。
在配置之前需要统一×××策略和参数,如模式、加密算法、认证方式、DH组、密钥周期、XAUTH和对NAT、DPD的支持等。其中模式、加密算法、认证方式、DH组必须一致,否则建不起来×××。
环境介绍
本文使用FortiGate400A和FortiGate110C做演示。本文支持的系统版本为FortiOS v3.0及更高。
拓扑:
(点击放大)
1
在这个配置中一台FortiGate使用静态域名和动态IP,因此当建立×××时对端设备需要先通过域名服务器找到该域名对应的IP,然后建立×××连接。使用动态IP 的FortiGate需要设置好DDNS才能确保及时地将动态IP报告给域名服务器。
FortiGate400A端配置:使用静态IP
步骤一:定义IPSec阶段一
在虚拟专网----IPSEC----自动交换密钥中点击创建阶段一。
远程网关:选择动态DNS
动态DNS:对端FortiGate的静态域名
本地接口:本端设备连接互联网的接口
模式:野蛮模式
2
步骤二:定义IPSec阶段二
点击创建阶段二。
阶段一:选择上面定义好的阶段一名称
(点击放大)
3
步骤三: 定义地址
在防火墙----地址中创建本端地址和对端地址
本端地址:定义在本端FortiGate设备后面的私网IP,该IP段一般是本端的服务器或PC。
对端地址:定义在对端FortiGate设备后面的私网IP,该IP段一般是对端的服务器或PC。
步骤四:添加策略
在防火墙----策略中创建一条新策略
源接口:连接本端私网的接口
源地址:定义好的本端地址
目的接口:连接互联网的接口
目的地址:定义好的对端地址
模式:选择IPSEC
×××通道:选择定义好的阶段一
将该策略移动到其他同方向策略的最顶端
(点击放大)
4
FortiGate110C端配置:使用静态域名和动态IP
步骤一:定义IPSec阶段一
在虚拟专网----IPSEC----自动交换密钥中点击创建阶段一。
远程网关:选择静态IP地址
IP地址:对端FortiGate连接互联网的接口地址
本地接口:本端设备连接互联网的接口
模式:野蛮模式
5
步骤二:定义IPSec阶段二
点击创建阶段二。
阶段一:选择上面定义好的阶段一名称
(点击放大)
6
步骤三: 定义地址
在防火墙----地址中创建本端地址和对端地址
本端地址:定义在本端FortiGate设备后面的私网IP,该IP段一般是本端的服务器或PC。
对端地址:定义在对端FortiGate设备后面的私网IP,该IP段一般是对端的服务器或PC。
步骤四:添加策略
在防火墙----策略中创建一条新策略
源接口:连接本端私网的接口
源地址:定义好的本端地址
目的接口:连接互联网的接口
目的地址:定义好的对端地址
模式:选择IPSEC
×××通道:选择定义好的阶段一
将该策略移动到其他同方向策略的最顶端
(点击放大)
7
步骤五:定义DDNS
在系统管理----网络中编辑本端FortiGate连接互联网的接口
DDNS:选择启用
服务器:选择一个DDNS服务器,服务器列表是内建在FortiGate中的,FortiGate可以连接到列表中的服务器。
域:填写有效的域名,即本设备的静态域名
用户名:当连接DDNS服务器时使用的用户名
口令:当连接DDNS服务器时使用的口令
(点击放大)
8
监视×××连接:
在虚拟专网----IPSEC----动态×××监视器中可以监视建立好的×××连接状态。