日常记录(一)HubSpoke下FortiGate防火墙IPsecVPN搭建

最新推荐文章于 2024-05-16 11:29:25 发布
最新推荐文章于 2024-05-16 11:29:25 发布
阅读量668 收藏 1
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuyuelin1996/article/details/131681409
版权

一、场景:

多分支机构与总部互联,拓扑大致为Hub-Spoke的模式。
各个分部通过IPsecVPN接入总部,总部为固定IP,分部为ADSL或者固定IP。
Hub-Spoke拓扑

二、问题描述:

在建立IPsec VPN的时候,总部也就是响应方IP地址是固定的,而分部也就是发起方IP地址是动态的,每次拨号获得的IP地址都不同,发起方可以指定响应方的IP地址,可是响应方无法指定发起方的IP地址;发起方必须指定路由,而响应方的路由是与发起方相关的,因为无法指定发起方的IP,所以也无法指定路由。不过有个替代方法那就是响应方在协商过程中,动态识别发起方,并接受发起方的路由。这种方法可以简化响应方的设置,不需要为每个发起方制定IPsec策略。

三、配置方法

3.1 固定IP to 固定IP

3.1.1 应用场景

公司或分部或数据中心,距离远,但两点之间需要经常进行安全的通迅,防火墙与防火墙之间建立IPsec实现该需求,本例是两端都是固定IP的情况防火墙的配置。
在这里插入图片描述

3.1.2 总部防火墙配置步骤

①新建IPsec隧道
登录防火墙,选择菜单 【虚拟专网】-【IPsec隧道】,点击【+新建】新建一条隧道。
在这里插入图片描述

②定义名称
选择Template type为 【自定义】点击【下一步】。
在这里插入图片描述

③配置网络参数
配置【网络】中【IP版本】、【IP地址】、【接口】等相关参数。
在这里插入图片描述

④配置认证参数
配置【认证】中【方法】、【预共享密钥】、【IKE】等相关参数。
在这里插入图片描述

⑤配置一阶段参数
配置【阶段1】中【加密】、【DH组】、【本地ID】等相关参数。
在这里插入图片描述

⑥配置二阶段参数
配置【阶段2】中【本地地址】、【远端地址】、【加密】、【自动协商】等相关参数。
在这里插入图片描述

⑦配置安全策略
选择菜单 【策略&对象】-【IPv4策略】,点击【+新建】新建一条策略。
在这里插入图片描述

⑧配置路由
选择菜单 【网络】-【静态路由】,点击【+新建】,配置通往分支的静态路由
在这里插入图片描述

2.1.1.3 分支防火墙配置步骤
①新建IPsec隧道
登录防火墙,选择菜单 【虚拟专网】-【IPsec隧道】,点击【+新建】新建一条隧道。
在这里插入图片描述

②定义名称
选择Template type为 【自定义】点击【下一步】。
在这里插入图片描述

③配置网络参数
配置【网络】中【IP版本】、【IP地址】、【接口】等相关参数。
在这里插入图片描述

④配置认证参数
配置【认证】中【方法】、【预共享密钥】、【IKE】等相关参数。
在这里插入图片描述

⑤配置一阶段参数
配置【阶段1】中【加密】、【DH组】、【本地ID】等相关参数。
在这里插入图片描述

⑥配置二阶段参数
配置【阶段2】中【本地地址】、【远端地址】、【加密】、【自动协商】等相关参数。
在这里插入图片描述

⑦配置安全策略
选择菜单 【策略&对象】-【IPv4策略】,点击【+新建】新建一条策略。

在这里插入图片描述

⑧配置静态路由
选择菜单 【网络】-【静态路由】,点击【+新建】,配置通往总部的静态路由
在这里插入图片描述

3.2 动态IP to 固定IP

3.2.1 应用场景

公司或分部或数据中心,距离远,但两点之间需要经常进行安全的通迅,防火墙与防火墙之间建立IPsec实现该需求,本例是总部是固定IP,分支是动态IP的情况防火墙的配置。
在这里插入图片描述

3.2.2 总部防火墙配置步骤

①新建IPsec隧道
登录防火墙,选择菜单 【虚拟专网】-【IPsec隧道】,点击【+新建】新建一条隧道。
在这里插入图片描述

②定义名称
选择Template type为 【自定义】点击【下一步】。
在这里插入图片描述

③配置网络参数
配置【网络】中【IP版本】、【IP地址】、【接口】等相关参数。
【提示】 注意【远程网关】需要选择“拨号用户”
在这里插入图片描述

④配置认证参数
配置【认证】中【方法】、【预共享密钥】、【IKE】等相关参数。
在这里插入图片描述

⑤配置一阶段参数
配置【阶段1】中【加密】、【DH组】、【本地ID】等相关参数。
在这里插入图片描述

⑥配置二阶段参数
配置【阶段2】中【本地地址】、【远端地址】、【加密】、【自动协商】等相关参数。
在这里插入图片描述

⑦配置安全策略
选择菜单 【策略&对象】-【IPv4策略】,点击【+新建】新建一条策略。
在这里插入图片描述

⑧配置路由
选择菜单 【网络】-【静态路由】,点击【+新建】,配置通往分支的静态路由
在这里插入图片描述

2.1.3.3 分支防火墙配置步骤
①新建IPsec隧道
登录防火墙,选择菜单 【虚拟专网】-【IPsec隧道】,点击【+新建】新建一条隧道。
在这里插入图片描述

②定义名称
选择Template type为 【自定义】点击【下一步】。
在这里插入图片描述

③配置网络参数
配置【网络】中【IP版本】、【IP地址】、【接口】等相关参数。
在这里插入图片描述

④配置认证参数
配置【认证】中【方法】、【预共享密钥】、【IKE】等相关参数。
在这里插入图片描述

⑤配置一阶段参数
配置【阶段1】中【加密】、【DH组】、【本地ID】等相关参数。
在这里插入图片描述

⑥配置二阶段参数
配置【阶段2】中【本地地址】、【远端地址】、【加密】、【自动协商】等相关参数。
在这里插入图片描述

⑦配置安全策略
选择菜单 【策略&对象】-【IPv4策略】,点击【+新建】新建一条策略。
在这里插入图片描述

⑧配置静态路由
选择菜单 【网络】-【静态路由】,点击【+新建】,配置通往总部的静态路由
在这里插入图片描述

xuyuelin1996
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
飞塔FortiGate防火墙基础配置
04-23
FortiGate防火墙USG6000典型配置案例、IPSEC配置案例、SSL VPN配置案例、通过PPPoE接入互联网、通过PPPoE接入互联网、客户端L2TP over IPSec接入(VPN Client/Windows/Mac OS/Android/iOS、应用控制(限制P2P流量、禁用QQ)、基于用户的带宽管理
飞塔IPSEC网络设置
09-03
飞塔IPSEC网络设置说明。含基础设置和IPSEC设置说明,CL代码示例
飞塔SSL-VPNFortiClient6.0.5客户端配置
最新发布
Helpdesk相关资料整理
05-16 1035
2)设置SSL VPN参数,具体包括连接名称、类型(SSL-VPN)、描述、远程网关(FGT防火墙SSL VPN服务端地址或域名)、自定义端口(根据SSLVPN的设置)、认证(登录时提示)、客户端证书(无)、遇到无效的服务器证书不提示(建议勾选),设置完成后点击“保存”5)SSL VPN连接成功(服务端设置,见前面配置案例章节)页面将显示连接名称、服务器端地址、连接时间、接收字节数、发送字节数等信息。3)点击左侧 远程访问,选择2)中建立的SSL VPN连接,输入用户名、密码,点击连接。
实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问
防火墙技术专栏
06-12 2403
前面我们实验的是FortiClient客户端与防火墙进行VPN连接,现在我们要做的实验是防火墙防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。
飞塔(FortiGate配置IPSec
沉默的鹏先生
12-23 9642
1、配置IPSec 1.1、进入VPN > IPsecWizard,选择custom。输入IPSec名称。点击Next,进行下一步配置。 1.2、填写Remote Gateway IP,选择Interface,以及pre-shared key 1.3、配置Phase1 proposal的Encryption和Authentication,选择Diffie-Hellman Group...
教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
03-09 4060
在本节课中你将了解IPsec的架构组件以及如何配置它们。通过展示IPsec基础知识的能力,你将能够理解IPsec的概念和好处。
教程篇(7.2) 17. IPsec虚拟专用网络 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-22 2077
在本课中,你将了解IPsec虚拟专用网络的体系结构组件以及如何配置它们。
VPN部署场景——拨号VPNhub spoke模式
君逍遥o
09-22 1628
如图所示,某公司总部内部有一台OA服务器,其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问,为了方便配置,总部不想有太多的配置,总部只建立一条vpn隧道,实现所有分支机构和总部的通讯。
Fortigate防火墙安全加固手册.doc
05-17
FortiGate V5.6飞塔防火墙 纯手打安全加固手册,亲手实施,编写文档。供大家参考,不足之处请指出
Fortimporter:Fortigate防火墙多地址导入器和地址创建者
05-15
Fortimporter入门Fortigate防火墙多URL导入器是用于Fortigate防火墙设备的URL列表导入工具已在Fortigate 600D,固件5.2上进行了测试,并且工作正常!先决条件您至少需要安装.Net Framework4。0正在安装下载...
飞塔FortiGate防火墙固件镜像6.2.4_1112(FGT_50E-v6-build1112-FORTINET.out)升级包
05-21
飞塔防火墙固件镜像6.2.4_1112版本,适用于 FortiGate 50E. 发布时间为:2020年5月10号(FGT_50E-v6-build1112-FORTINET.out)
飞塔防火墙IPSECVPN配置简单步骤.pdf
12-25
飞塔防火墙IPSECVPN配置简单步骤.pdf
Fortigate防火墙安全配置规范.pdf
10-14
Fortigate防火墙安全配置规范.pdf
[笔记] FortiGate IPSec+策略路由实现流量的路径分发
wendr的博客
01-18 1467
网安运营 - 运维篇 第一章 FortiGate IPSec+策略路由实现流量的路径分发
【隧道篇 / IPsec】(5.6) ❀ 06. 多条 IPsec 冗余 ❀ FortiGate 防火墙
防火墙技术专栏
09-03 5206
【简介】当多个分部连接总部的时候,我们可以使用点对多的IPsec VPN,但是缺点就是,如果总部的这条宽带临时出现问题,所有的VPN将会断开,严重影响业务,解决的办法就是用二条宽带做冗余IPsec VPN,这样一条宽带出现故障,另一条宽带的VPN还是可以正常使用。 冗余 VPN 问题 我们在做点对多IPsec VPN的时候知道,总部是不用建立返程路由的,都......
飞塔防火墙上实现IPSec ×××
weixin_33881050的博客
06-17 427
FG IPSec ××× 首先感谢Fortinet支持中心群网友海宝支持,以及雅木的整理,龙卷风负责51CTO上作品的修改与编辑。希望大家多多支持。 假设总部A与分公司B做ipsec×××(通道模式) A为FG200B 当前系统为v4.0,build0313,110301 (MR2 Patch 4) B为FG300A当前系统为v3....
从零开始学飞塔第一篇:飞塔防火墙基本上网配置(PPPoE拨号&固定IP上网)FortiGate Broadband internet access
热门推荐
Zion_Sue的博客
06-17 1万+
飞塔防火墙基本上网配置一共分三个部分-----接口-----路由-----策略。 1.接口部分:
FortiGate防火墙与Aruze云隧道中断问题
叫我小火柴
02-14 1714
本文主要讲解FortiGate防火墙与Aruze云搭建IPSECVPN后,经常出现隧道中断问题处理方法。
使用docker快速部署IPsec VPN 服务器
weixin_45221629的博客
05-22 2132
一个用户名对应一个密码,如果需要新增, 更改配置文件,重启服务即可。注意服务器需要有外网 IP,以及放开对应端口。
Fortigate防火墙配置***使用Radius认证配置说明
05-17
配置Fortigate防火墙的Radius认证,需要进行以下步骤: 1. 配置Radius服务器信息 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user radius edit "radius_server" set server "radius_server_ip" set secret "radius_secret" next end ``` 其中,"radius_server"是Radius服务器的名称,"radius_server_ip"是Radius服务器的IP地址,"radius_secret"是Radius服务器的秘钥。 2. 配置认证方式 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user radius-setting set accounting enable set accounting-log enable set auth-type radius set radius-scheme "default" set radius-server "radius_server" set radius-timeout 5 set radius-encryption disable end ``` 其中,"radius_server"是Radius服务器的名称,"default"是Radius服务器的默认方案名称。 3. 配置用户组 在Fortigate防火墙的CLI界面中输入以下命令: ``` config user group edit "radius_group" set member "radius_user" next end ``` 其中,"radius_group"是Radius用户组的名称,"radius_user"是Radius用户的名称。 4. 配置接口 在Fortigate防火墙的CLI界面中输入以下命令: ``` config system interface edit "interface_name" set allowaccess radius set radius-scheme "default" next end ``` 其中,"interface_name"是要配置Radius认证的接口名称。 完成以上步骤后,就可以使用Radius认证方式登录Fortigate防火墙了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值