【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求。ADSL拨号宽带物美价廉,只可惜每次拨号生成的外网IP都不同,两端都是ADSL拨号宽带要建立点对点连接,就要借助动态域名了。
IPsec 的作用
作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来。
IPsec 通常是由防火墙与防火墙之间建立连接,但也可以通过远程的客户端与防火墙建立IPsec连接。
环境介绍
ADSL 拨号宽带应用非常广泛,但每次连接成功后获得的 IP 地址都不相同,为了即使变动 IP 地址也能正常连接上IPsec,可以使用DDNS(动态域名解析)方式将动态公网IP地址与FQDN域名绑定,建立隧道的双方均使用FQDN域名与对方通信;
DDNS 是将用户的动态 IP 地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态 IP 地址传送给位于服务商主机上的服务器程序,服务器程序负责提供 DNS 服务并实现动态域名解析。也就是说 DDNS 捕获用户每次变化的 IP 地址,然后将其与域名相对应,这样其他上网用户就可以通过域名来进行交流。
飞塔设备支持 DDNS,并且拥用专用的 DDNS 服务器;设置IPsec时,如果两边都是ADSL拨号宽号,就需要配置FortiGuard DDNS了。
① 选择菜单【系统管理】-【网络】-【DNS】,配置FortiGuard DDNS ;
② FortiGate 90D 与 FortiGate 60D FortGuard DDNS设置对比。
启用Fortiguard DDNS 选项打钩,接口处选择外网接口,服务器选择飞塔自带的DDNS服务器 fortiddns.com,唯一定位输入一组从未使用过的名称,服务器会自动判别,系统会自动将外网口的IP地址与唯一的域名称绑定,即使重新启动设备得到新的IP地址,仍然可以通过域名称得到正确的IP。
配置 IPsec隧道
为了能够更好的理解两端IPsec设置的区别,我们将两边的设置放在一起介绍。
① 选择菜单 【虚拟专网】-【IPsec】-【 隧道】,点击 Create New 新建一条隧道。
② 给隧道取个用户名,建议使用地名缩写加设备缩写,两地之间用减号连接,这样可以比较直观的知道方向,选择无模板方式。
③ FortiGate 90D 与 FortiGate 60D VPN隧道对比。
(1) 此项如果没有显示,则默认为接口模式,需要在菜单【系统管理】-【配置】-【 特性】里打开基于策略的IPsec功能才可以看到,这里使用策略模式,所以取消打钩 ;
(2) 远程网关选择为动态DNS,启动FortiGate DDNS输入对方设备在Fortiddns注册的域名,接口选择流出的外网口。
(3) 预共享密钥为自定义,要求两边必须相同;
(4) 由于都是动态IP,所以模式选择aggressive;
(5) 阶段一的加密可以为单层或多层,加密越多反应越慢,这里只保留一层加密,两边设置必须相同;
(6) 同样阶段一的Diffire-Hellman也只保留了一个选项;
(7) 输入对应的本地子网与对方子网的IP地址范围;
(8) 阶段二的加密同样可以为单层或多层,加密越多反应越慢,这里只保留一层加密,两边设置必须相同;
(9) 同样阶段二的Diffire-Hellman也只保留了一个选项。
(10) 自动密钥保持存活选项打钩。
配置策略
IPsec策略模式需要手动建立一条策略。
① 选择菜单【策略&对象】-【策略】-【IPv4】,点击 Create New 新建一条策略;
② FortiGate 90D 与 FortiGate 60D 策略对比:
(1) 流入接口选择内网口;
(2) 源地址为当前设备的内网地址范围,下拉选项里没有的情况下可以新建立一个地址对象;
(3) 流出接口选择外网口;
(4) 目的地址为需要访问设备的地址范围,下拉选项里没有的情况下可以新建立一个地址对象;
(5) 服务选择所有,也可以根据实际情况选择允许访问的服务,例如Web服务、文件服务等;
(6) 动作选择IPsec;
(7) 因为前面已经建立了隧道,所以隧道选择使用现有;
(8) 下拉选择建立好了的隧道,如果是接口模式而非策略模式,这个下拉选项是灰色不可操作;
(9) 允许从远端站点发起流量,这个选项要打钩。
修改策略顺序
因为已经有了一条相同流入、流出接口的上网策略,再加上策略,这个时候策略的顺序就很重要了,因为策略是按顺序是从上往下执行的。
① 新建立的策略默认排列在最下层,需要将策略移到顶部,优先执行。
② 鼠标移到策略最左边的序号上,光标会变成十字箭头,按住鼠标拖动,即可更改策略顺序。
启动 IPsec
IPsec建成后需要启动连接。
① 选择菜单【虚拟专网】-【监视器】-【IPsec 监视器】,状态为断开,鼠标在上点击右键,弹出子菜单,点击启用。
② 当 IPsec 监视器中的状态显示为绿色向上箭头时,表明已经连接成功。
③ 两边内网可以互相访问。
飞塔技术-老梅子 QQ:57389522