IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙

        【简介】国内的宽带有很多国际网站不能访问,这对做外贸的企业来说很不方便,如果有分公司在香港,那么可以通过两边防火墙建立IPsec通道,国内用户通过IPsec通道走香港宽带上网。


  网络结构

        两台飞塔防火墙设备之间首先需要建立IPsec隧道,保证两边的内网可以互相访问,然后允许隧道访问香港的互联网,再将内地访问的所有流量走隧道,这样就可以达到内地通过隧道走香港宽带上互联网了。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第1张图片

  香港 - 建立隧道

        这里我们以深圳和香港为例,假设网络环境是香港为固定IP宽带上网,深圳为ADSL拨号宽带上网。我们首先来配置香港防火墙。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第2张图片

        ① 选择菜单【虚拟专网】-【IPsec 向导】,点击【新建】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第3张图片

        ② 输入自定义的用户名,建议包含设备两端地名,方便理解。默认模板类型默认为〖站到站〗,直接点击【下一个】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第4张图片

        ③ 因为深圳宽带为ADSL拨号方式,IP地址随时会改变,这里随便输入一个IP地址,等会再修改。预共享密钥为自定义输入,两边防火墙要输入相同的预共享密钥。点击【下一个】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第5张图片

        ④ 本地接口为允许从哪个内网接口去访问IPsec VPN隧道。本地子网会自动显示本地接口设置的IP地址段。远端子网则是要访问的深圳的内网地址段。点击【完成】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第6张图片

        ⑤ 向导默认建立的是接口模式IPsec,因此会自动建立一条路由,二条策略。点击【显示隧道列表】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第7张图片

        ⑥ 我们需要手动修改一下IPsec设置,以达到我们的要求,选择刚建立的隧道,点击【编辑】。

 香港 - 修改隧道

        由于向导建立IPsec隧道时,会自动加载多层加密方式,在传输大量数据时,会明显影响速度,因此要对IPsec隧道进行修改。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第8张图片

        ① 由向导建立的隧道,可以修改的内容很少,点击【转换为自定义隧道】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第9张图片

        ② IPsec隧道的设置被分为多个小节,点击小节右上角的【编辑】,可以对小节内容进行修改,这里点击〖网络〗右上角的【编辑】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第10张图片

        ③ 因为深圳为ADSL拨号宽带,我们可以设置深圳防火墙的FortiGuard DDNS,这样通过域名可以得到外网IP地址。设置方法后面会介绍。点击钩图标确认。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第11张图片

        ④ 编辑〖阶段1 Proposal〗可以看到有多条加密认证,每条加密认证的后面有个垃圾箱图标,点击图标可以删除对应的加密认证。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第12张图片

        ⑤ 除了保留一条加密认证外,其它的都删除,同样的深圳防火墙设置时也只保留一组,要求内容一致。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第13张图片

        ⑥ 〖阶段2选择器〗可以看到允许互访的本地地址和远端地址,因为我们要通过隧道访问香港的宽带,因此不能在隧道内限制IP。点击笔的图标,进行修改。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第14张图片

        ⑦ 将本地地址和远端地址都改为0.0.0.0/0.0.0.0,点击高级左边的加号。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第15张图片

        ⑧ 〖阶段2 Proposal〗里也有多条加密认证,点击垃圾箱图标删除多余的加密认证。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第16张图片

        ⑨ 同样也只保留一条加密认证,点确条加密认证,点击【确认】保存修改。

          【提示】整个配置完成并测试通过后,建议将自动协商〗和〖自动密钥保持存活〗钩选。这样IPsec会自动保持连接。

  香港 - 修改策略

        香港防火墙设置IPsec完成后,还需要建立一条策略,允许IPsec隧道访问香港宽带。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第17张图片

        ① 选择菜单【策略&对象】-【IPv4策略】,可以看到向导自动建立了两条来回访问的策略。点击【新建】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第18张图片

        ② 用户名自定义,流入接口选择IPsec隧道接口,流出接口为香港防火墙的外网接口,其它都选ALL。点击【确认】。这样香港防火墙就全部设备完了。

  深圳 - 配置DNS

        由于深圳防火墙外网是ADSL拨号宽带,IP地址随时会改变,我们需要在防火墙上设置FortiGuard DDNS,用域名来指定变化的IP地址,这个功能和国内的花生壳类似。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第19张图片

        ① 在深圳防火墙上选择菜单【网络】-【DNS】,打开FortiGuard DDNS选项,接口选择ADSL宽带连接的Wan1口,输入一个唯一定位词,下面会自动出现域名,以后通过这个域名就可以得到外网的IP地址了,即使每次ADSL连接IP地址改变。点击【应用】。

  深圳 -建立隧道

        深圳防火墙和香港防火墙一样,先是通过向导建立IPsec隧道,然后对隧道配置进行修改。内容比较重复,但是为了让看客不走弯路,这里还是列出来。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第20张图片

        ① 选择菜单【虚拟专网】-【IPsec 向导】,点击【新建】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第21张图片

        ② 输入自定义的用户名,建议包含设备两端地名,方便理解。默认模板类型默认为〖站到站〗,直接点击【下一个】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第22张图片

        ③ 因为香港宽带为固定IP,所以这里输入香港宽带的IP地址,预共享密钥要与香港防火墙相同。点击【下一个】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第23张图片

        ④ 本地接口为允许从哪个内网接口去访问IPsec隧道。本地子网会自动显示本地接口设置的IP地址段。远端子网则是要访问的香港的内网地址段。点击【完成】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第24张图片

        ⑤ 向导默认建立的是接口模式IPsec,因此会自动建立一条路由,二条策略。点击【显示隧道列表】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第25张图片

        ⑥ 我们需要手动修改一下IPsec设置,以达到我们的要求,选择刚建立的隧道,点击【编辑】。

  深圳 -修改隧道

        和香港防火墙一样,修改IPsec VPN隧道,减少加密方式,使隧道速度不会受到太大的影响。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第26张图片

        ① 由向导建立的隧道,可以修改的内容很少,点击【转换为自定义隧道】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第27张图片

        ② 点击〖阶段1 Proposal〗右上角的【编辑】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第28张图片

        ③ 只保留一条加密认证,其它的删除。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第29张图片

        ④ 修改完后点击右上角钩图标,然后就可以继续对其它进行操作了。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第30张图片

        ⑤ 〖阶段2选择器〗可以看到允许互访的本地地址和远端地址,因为我们要通过隧道访问香港的宽带,因此不能在隧道内限制IP。点击笔的图标,进行修改。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第31张图片

        ⑥ 将本地地址和远端地址都改为0.0.0.0/0.0.0.0,点击高级左边的加号。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第32张图片

        ⑦ 〖阶段2 Proposal〗里也有多条加密认证,点击垃圾箱图标删除多余的加密认证。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第33张图片

        ⑧ 同样也只保留一条加密认证,点确条加密认证,点击【确认】保存修改。

          【提示】整个配置完成并测试通过后,建议将自动协商〗和〖自动密钥保持存活〗钩选。这样IPsec会自动保持连接。

  深圳 - 修改策略及路由等

        因为是从深圳通过隧道访问香港宽带,而向导建立的访问隧道的策略限制了IP范围,所以需要对这条策略进行修改。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第34张图片

        ① 选择菜单【策略&对象】-【IPv4策略】,选择内网访问隧道策略,点击【编辑】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第35张图片

        ② 将策略里面的〖目标地址〗改为【ALL】,这样就可以通过隧道访问更多内容了。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第36张图片

       ③ 选择菜单【网络】-【路由】,可以看到向导自动建立的走隧道的静态路由,选择路由,点击【编辑】,我们要修改目标地址,使更多内容可以走隧道。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第37张图片

       ④ 将目的地址改为0.0.0.0/0.0.0.0,这样所有数据都会走隧道出去,点击【确认】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第38张图片

       ⑤ 选择菜单【监视器】-【路由监控表】,可以看到有两条0.0.0.0/0.0.0.0的静态路由,一条是拨号宽带自动产生的走本地网关出去,一条是走IPsec隧道出去。两条静态路由,优先走哪条出去就很重要了。首先我们要确定管理距离一致。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第39张图片

       ⑥ 拨号宽带的路径长度默认是5,我们要将它改为10,因为静态路由路的管理距离是10。然后就是优先级了,拨号宽带的优先级默认是0,而IPsec路由的的优先级也是0,在都是0的前提下,拨号宽带优先。我们需要修改拨号宽带的优先级,将数字设为比0大,这样隧道路由就优先了,所有数据就会走隧道了。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第40张图片

       ⑦ 修改拨号宽带路由优先级要用到命令行。在主窗口右上角点击admin,下拉菜单选择CLI Console,会有命令窗口弹出。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第41张图片

       ⑧ 拨号宽带接在防火墙的Wan1口,所以用上述命令编辑Wan1口,将优先级改为5。

  效果测试

        深圳、香港两边的防火墙都设置完成了,就可以连接测试,看看是否可以从深圳访问香港宽带了。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第42张图片

       ① 在深圳防火墙上选择菜单【监视器】-【IPsec监视器】,鼠标右击隧道,弹出菜单中选择【启用】。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第43张图片

       ② 连通后,会出现向上的绿色箭头。可以多启动几次。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第44张图片

       ③ 在命令行下,先定义源IP地址,再Ping对方防火墙的内网接口地址,如果能够Ping通,说明是连通的。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第45张图片

       ④ 修改DNS服务器为香港及国际通用地址。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第46张图片

       ⑤ 可以用Google看新闻了。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第47张图片

       ⑥ 也可以用YouTube看视频了。

IPsec篇(5.4) 02. IPsec - 上网 ❀ 飞塔 (Fortinet) 防火墙_第48张图片

       ⑦ 选择菜单【FortiView】-【会话】,可以看到访问都是通过IPsec隧道出去的。

          【提示】访问国际互联网,请遵守国家法律与策略。
 

飞塔技术-老梅子   QQ:57389522


你可能感兴趣的:(飞塔防火墙,-,隧道篇)