【简介】IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。
VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网。
IPsec VPN通常是由防火墙与防火墙之间建立连接,但也可以通过远程的客户端与防火墙建立IPsec VPN连接。
测试环境是使用飞塔 FortiGate 90D 防火墙。
测试目地:建立IPsec VPN,通过客户端连接后可以远程访问internal2接口下的10.0.2.88电脑。
首先需要设定internal2接口的IP地址网段,然后建立具有访问权限的用户及用户组。
① 建立被访问的internal2接口的IP地址;
② 建立用来登录IPsec VPN的用户;
③ 建立用户组,将新建的用户加入组内。
准备工作做好后,就可以开始设置防火墙上的 IPsec VPN 了。
① 选择菜单【虚拟专网】-【IPsec】-【隧道】,点击【Create New】新建隧道;
② 输入新建的隧道名称,选择【拨号-FortiClient】模板;
③ 流入接口选择宽带接口,预共享密钥自定义(客户端建立连接时也要输入相同的共享密钥),用户组选择刚刚建立的client-user组,这样只有这个组的成员才可以使用这个隧道;
④ 本地接口选择需要通过隧道访问的接口,这里选择的是10.0.2.0网段的internal2接口,客户端地址范围,是拨号端拨号成功后分的IP地址,地址范围不要和双方内网地址范围相同,DNS默认使用系统DNS,启动IPv4分割隧道必选,访问可达网络选择10.0.2.0网段;
⑤ 自动连接和永远在线建议选择打钩;
⑥ VPN就建立成功了,除了建立了阶段1和阶段2外,还建立了一个To-Client_range地址,内容就是拨号后自动分配的IP地址范围,设置策略的时候会用上。
配置完成 IPsec VPN 后,因为是利用模板建立的,我们需要再进行修改,以符合实际需求。
① 选择刚建立的隧道进行编辑,将模板建立的IPsec VPN转换为自定义隧道;
② 修改阶段1的加密选项,只保留两行(因为FortiClient里的IPsec VPN设置选项里也只有两行),选择Diffie-Hellman组,这两项内容可以自定义,FortiClient客户端的设置必须与此相同;
③ 同样修改阶段2的加密选项与Diffie-Hellman组项,FortiClient客户端的设置必须与此相同,其它都保留默认,不需要修改。
建立IPsec VPN隧道后,需要制定策略允许隧道之间的访问。
① 选择菜单【策略&对象】-【策略】-【IPv4】,点击【Create New】新建策略;
② 首先建立允许通过隧道访问内网的策略;
③ 然后建立允许内网访问VPN拨号方的策略(如果是单向访问,这条策略可以不建);
④ 最后建立允许多个拨号VPN互相访问的策略(不需要拨号VPN方之间互相访问的此条策略可以不建);
⑤ 将新建的策略移动最高,优先执行,可以看到To-Client_range内容是建立IPsec VPN时输入的客户端地址范围。
首先在远程电脑上安装FortiClient客户端,下载及安装过程参考相应文档。
① 启动FortiClient客户端,点击【配置 VPN】;
② 首先选择【IPsec VPN】,然后输入连接名,远程网关则填写对方的IP地址,输入共享密钥(和设置IPsec VPN时的共享密钥一致),点击【高级设置】;
③ 修改第一阶段的加密及DH组,与IPsec VPN设置的相同;
④ 修改第二阶段的加密及DH组,与IPsec VPN设置的相同,点击【应用】就设置完成了;
客户端设置完成后就可以连接远程的 IPsec VPN 了。
① 启动FortiClient客户端,输入用户名称密码(用户名和密码在设置IPsec VPN前在防火墙上建立,加入了Client-User用户组),点击【连接】;
② 稍等片刻连接成功,在屏幕的右下角出现FortiClient小图标,鼠标停留在上面可以看到连接提示;
③ 双击屏幕右下角的FortiClient小图标,弹出窗口,显示IPsec VPN连接成功,并显示连接时间及接收发送字节等信息;
④ 查看本地的IP地址,可以看到多了一个本地连接,IP地址也是在设置IPsec VPN时客户端地址范围内,没有网关;
⑤ ping防火墙内网internal2接口地址,以及接口下的电脑的IP地址,都可以ping通,说明IPsec VPN建立成功;
⑥ 再看防火墙上的IPsec VPN设置,显示有1个拨号连接了防火墙;
⑦ IPsec 监视器也可以看到IPsec VPN状态是启动的,并有流入数据。
IPsec VPN连接成功后只能访问指定的内网,如果需要通过IPsec VPN访问外网的话,还需要做下面设置:
① 修改IPsec VPN隧道,默认的使用系统DNS取消,输入当然外网的DNS服务器地址,访问可达网络原来设置的是内网地址,这里改为所有;
② 新建一条策略,允许通过隧道访问外网,这里要加上client-user用户组;
③ 同样将策略排在上面,优先执行;
④ 再次连接成功后,可以看到以前是没有网关的,现在有网关了,并且DNS的地址也被指定了;
⑤ 客户端上打开浏览器上网的时候,会出现飞塔的验证提示,输入用户名和密码后,就可以上网了;
⑥ 上网的时候,VPN的接收和发送字节数都会变动,说明是通过VPN在上网;
⑦ 同样可以访问防火墙internal2接口下的内网电脑,一点不受影响。
http://blog.csdn.net/meigang2012/article/details/51700258
支付宝微信扫一扫,打赏作者吧~
![CACTI:SPINE: Poller[0] ERROR: SQL Failed! Error:'1062', Message:'Duplicate entry ..' 解决方法](https://www.kinber.cn/zb_users/cache/thumbs/21e167d29c521e7d1a181b01141a61fa-400-300-1.jpg)
