IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙
【简介】国内的宽带有很多国际网站不能访问,这对做外贸的企业来说很不方便,如果有分公司在香港,那么可以通过两边防火墙建立IPsec通道,国内用户通过IPsec通道走香港宽带上网。
网络结构
两台飞塔防火墙设备之间首先需要建立IPsec隧道,保证两边的内网可以互相访问,然后允许隧道访问香港的互联网,再将内地访问的所有流量走隧道,这样就可以达到内地通过隧道走香港宽带上互联网了。
香港 - 建立隧道
这里我们以深圳和香港为例,假设网络环境是香港为固定IP宽带上网,深圳为ADSL拨号宽带上网。我们首先来配置香港防火墙。
① 选择菜单【虚拟专网】-【IPsec 向导】,点击【新建】。
② 输入自定义的用户名,建议包含设备两端地名,方便理解。默认模板类型默认为〖站到站〗,直接点击【下一个】。
③ 因为深圳宽带为ADSL拨号方式,IP地址随时会改变,这里随便输入一个IP地址,等会再修改。预共享密钥为自定义输入,两边防火墙要输入相同的预共享密钥。点击【下一个】。
④ 本地接口为允许从哪个内网接口去访问IPsec VPN隧道。本地子网会自动显示本地接口设置的IP地址段。远端子网则是要访问的深圳的内网地址段。点击【完成】。
⑤ 向导默认建立的是接口模式IPsec,因此会自动建立一条路由,二条策略。点击【显示隧道列表】。
⑥ 我们需要手动修改一下IPsec设置,以达到我们的要求,选择刚建立的隧道,点击【编辑】。
香港 - 修改隧道
由于向导建立IPsec隧道时,会自动加载多层加密方式,在传输大量数据时,会明显影响速度,因此要对IPsec隧道进行修改。
① 由向导建立的隧道,可以修改的内容很少,点击【转换为自定义隧道】。
② IPsec隧道的设置被分为多个小节,点击小节右上角的【编辑】,可以对小节内容进行修改,这里点击〖网络〗右上角的【编辑】。
③ 因为深圳为ADSL拨号宽带,我们可以设置深圳防火墙的FortiGuard DDNS,这样通过域名可以得到外网IP地址。设置方法后面会介绍。点击钩图标确认。
④ 编辑〖阶段1 Proposal〗可以看到有多条加密认证,每条加密认证的后面有个垃圾箱图标,点击图标可以删除对应的加密认证。
⑤ 除了保留一条加密认证外,其它的都删除,同样的深圳防火墙设置时也只保留一组,要求内容一致。
⑥ 〖阶段2选择器〗可以看到允许互访的本地地址和远端地址,因为我们要通过隧道访问香港的宽带,因此不能在隧道内限制IP。点击笔的图标,进行修改。
⑦ 将本地地址和远端地址都改为0.0.0.0/0.0.0.0,点击高级左边的加号。
⑧ 〖阶段2 Proposal〗里也有多条加密认证,点击垃圾箱图标删除多余的加密认证。
⑨ 同样也只保留一条加密认证,点确条加密认证,点击【确认】保存修改。
【提示】整个配置完成并测试通过后,建议将〖自动协商〗和〖自动密钥保持存活〗钩选。这样IPsec会自动保持连接。
香港 - 修改策略
香港防火墙设置IPsec完成后,还需要建立一条策略,允许IPsec隧道访问香港宽带。
① 选择菜单【策略&对象】-【IPv4策略】,可以看到向导自动建立了两条来回访问的策略。点击【新建】。
② 用户名自定义,流入接口选择IPsec隧道接口,流出接口为香港防火墙的外网接口,其它都选ALL。点击【确认】。这样香港防火墙就全部设备完了。
深圳 - 配置DNS
由于深圳防火墙外网是ADSL拨号宽带,IP地址随时会改变,我们需要在防火墙上设置FortiGuard DDNS,用域名来指定变化的IP地址,这个功能和国内的花生壳类似。
① 在深圳防火墙上选择菜单【网络】-【DNS】,打开FortiGuard DDNS选项,接口选择ADSL宽带连接的Wan1口,输入一个唯一定位词,下面会自动出现域名,以后通过这个域名就可以得到外网的IP地址了,即使每次ADSL连接IP地址改变。点击【应用】。
深圳 -建立隧道
深圳防火墙和香港防火墙一样,先是通过向导建立IPsec隧道,然后对隧道配置进行修改。内容比较重复,但是为了让看客不走弯路,这里还是列出来。
① 选择菜单【虚拟专网】-【IPsec 向导】,点击【新建】。
② 输入自定义的用户名,建议包含设备两端地名,方便理解。默认模板类型默认为〖站到站〗,直接点击【下一个】。
③ 因为香港宽带为固定IP,所以这里输入香港宽带的IP地址,预共享密钥要与香港防火墙相同。点击【下一个】。
④ 本地接口为允许从哪个内网接口去访问IPsec隧道。本地子网会自动显示本地接口设置的IP地址段。远端子网则是要访问的香港的内网地址段。点击【完成】。
⑤ 向导默认建立的是接口模式IPsec,因此会自动建立一条路由,二条策略。点击【显示隧道列表】。
⑥ 我们需要手动修改一下IPsec设置,以达到我们的要求,选择刚建立的隧道,点击【编辑】。
深圳 -修改隧道
和香港防火墙一样,修改IPsec VPN隧道,减少加密方式,使隧道速度不会受到太大的影响。
① 由向导建立的隧道,可以修改的内容很少,点击【转换为自定义隧道】。
② 点击〖阶段1 Proposal〗右上角的【编辑】。
③ 只保留一条加密认证,其它的删除。
④ 修改完后点击右上角钩图标,然后就可以继续对其它进行操作了。
⑤ 〖阶段2选择器〗可以看到允许互访的本地地址和远端地址,因为我们要通过隧道访问香港的宽带,因此不能在隧道内限制IP。点击笔的图标,进行修改。
⑥ 将本地地址和远端地址都改为0.0.0.0/0.0.0.0,点击高级左边的加号。
⑦ 〖阶段2 Proposal〗里也有多条加密认证,点击垃圾箱图标删除多余的加密认证。
⑧ 同样也只保留一条加密认证,点确条加密认证,点击【确认】保存修改。
【提示】整个配置完成并测试通过后,建议将〖自动协商〗和〖自动密钥保持存活〗钩选。这样IPsec会自动保持连接。
深圳 - 修改策略及路由等
因为是从深圳通过隧道访问香港宽带,而向导建立的访问隧道的策略限制了IP范围,所以需要对这条策略进行修改。
① 选择菜单【策略&对象】-【IPv4策略】,选择内网访问隧道策略,点击【编辑】。
② 将策略里面的〖目标地址〗改为【ALL】,这样就可以通过隧道访问更多内容了。
③ 选择菜单【网络】-【路由】,可以看到向导自动建立的走隧道的静态路由,选择路由,点击【编辑】,我们要修改目标地址,使更多内容可以走隧道。
④ 将目的地址改为0.0.0.0/0.0.0.0,这样所有数据都会走隧道出去,点击【确认】。
⑤ 选择菜单【监视器】-【路由监控表】,可以看到有两条0.0.0.0/0.0.0.0的静态路由,一条是拨号宽带自动产生的走本地网关出去,一条是走IPsec隧道出去。两条静态路由,优先走哪条出去就很重要了。首先我们要确定管理距离一致。
⑥ 拨号宽带的路径长度默认是5,我们要将它改为10,因为静态路由路的管理距离是10。然后就是优先级了,拨号宽带的优先级默认是0,而IPsec路由的的优先级也是0,在都是0的前提下,拨号宽带优先。我们需要修改拨号宽带的优先级,将数字设为比0大,这样隧道路由就优先了,所有数据就会走隧道了。
⑦ 修改拨号宽带路由优先级要用到命令行。在主窗口右上角点击admin,下拉菜单选择CLI Console,会有命令窗口弹出。
⑧ 拨号宽带接在防火墙的Wan1口,所以用上述命令编辑Wan1口,将优先级改为5。
效果测试
深圳、香港两边的防火墙都设置完成了,就可以连接测试,看看是否可以从深圳访问香港宽带了。
① 在深圳防火墙上选择菜单【监视器】-【IPsec监视器】,鼠标右击隧道,弹出菜单中选择【启用】。
② 连通后,会出现向上的绿色箭头。可以多启动几次。
③ 在命令行下,先定义源IP地址,再Ping对方防火墙的内网接口地址,如果能够Ping通,说明是连通的。
④ 修改DNS服务器为香港及国际通用地址。
⑤ 可以用Google看新闻了。
⑥ 也可以用YouTube看视频了。
⑦ 选择菜单【FortiView】-【会话】,可以看到访问都是通过IPsec隧道出去的。
【提示】访问国际互联网,请遵守国家法律与策略。
飞塔技术-老梅子 QQ:57389522
