【简介】通过对SSL VPN与IPsec VPN的对比,我们知道SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN,IPsec VPN对所有的IP应用均透明。我们看看怎么用FortiClient实现IPsec VPN远程访问。
实验要求与环境
OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。为了方便管理员在任何位置都能访问,启用了远程桌面功能。
管理员除了对服务器进行远程访问外,还希望通过防火墙能够远程访问内网中的交换机、摄像机、打印机等设备。由于对底层设备访问过多,因此希望使用IPsec VPN进行远程访问。
配置前的准备
在配置IPsec VPN隧道模式之前,我们同样需要准备一些要用到的内容。
① FortiClient客户端使用IPsec VPN也需要进行用户验证,这里我们就直接套用SSL VPN的用户组。具体创建方法查看前面的文章。
② 用户组内的用户也直接套用。当然也可以建立多个用户进行测试。
③ 同样也需要用到访问地址对象。
④ 以及地址组,由于这些在前面的SSL VPN里都创建了,我们就拿来用好了。如果重新开始配置,那么就要先准备好这些了。
防火墙的配置
当我们准备好了基础数据后,就可以开始配置防火墙了。
① 管理员远程登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。
② 自动切换到向导,输入自定义的名称,模板类型选择【远程拨号】,默认远程拨号设备为FortiClient。点击【下一步】。
③ 流入接口选择拨号的宽带口,认证方法默认为【预共享密钥】,这里自己填写一个自定义的密钥。配置FortiClient客户端的时候,也需要填写相同的密钥。选择用户组,拨号的时候需要输入用户组内的用户和密码。点击【下一步】。
④ 本地接口,选择连接服务器的DMZ口,本地地址,选择前面已经创建好的地址组。客户端地址范围需要手动填写,这点和SSL IPsec不同。为了清晰理解,用了一个和SSL VPN相近的地址网段,一个是134,一个是135。默认启用隧道分离,这里和SSL VPN的概念是一样的,如果前期做了SSL VPN的实验,这里就很容易理解了。点击【下一步】。
⑤ 客户端选项可以根据需求启用。点击【下一步】。
⑥ 所有配置完成,提示会生成地址、地址组、策略以及虚拟接口。点击【完成】。
⑦ VPN向导创建成功后,会显示【VPN已建立】,如果显示其它报错信息,就要查找原因了。点击【显示隧道列表】。
⑧ 在【IPsec隧道】菜单右侧,可以看到刚建立好的隧道,状态为不活跃。选择隧道,点击【编辑】。
⑨ 可以看到VPN隧道内容,后面我们还会详细讲解。
⑩ 选择菜单【策略&对象】-【地址】,可以看到向导自动创建了地址对象和地址组。
⑪ 选择菜单【防火墙策略】,可以看到向导自动创建了一条策略,编辑一条策略,策略内容是允许IPsec VPN虚拟接口访问DMZ接口下的服务器IP。默认启用了NAT,由于DMZ口和服务器IP在同一网段,这里需要关闭NAT。点击【确认】,这样防火墙的配置都完成了。
FortiClient客户端的配置
这里我们默认已经下载并安装好了FortiClient客户端,有不了解的查看前面的文章。
① 管理员的笔记本电脑启动FortiClient客户端,点击VPN连接最右边图标,弹出菜单选择【建立新连接】。FortiClinet客户端可以创建多个连接。
② VPN选择【IPsec VPN】,输入自定义的连接名,远程网关填写深圳总部防火墙wan1接口的公网IP。这里SSL VPN不同的是,不用输入端口。但是需要填写共享密钥。这个共享密钥也就是防火墙配置时创建的。点击【保存】。
③ 回到上一层窗口,VPN连接已经变成新建的连接,输入用户名和密码,点击【连接】。
④ 和SSL VPN不同的时,IPsec VPN没有提示证书信息,直接连接成功。
验证效果
按SSL VPN的验证方式,我们来看一看IPsec VPN效果有什么不同。
① 在命令提示符下输入ipconfig/all,看到IPsec VPN拨号后也生成了一块虚拟网卡,并获得IP地址、网关和DNS。
② 用route print命令查看笔记本电脑的路由表,可以看到只有访问10.10.10.254时才会走隧道出去。这就是启用了隧道分离的结果。
③ ping服务器IP,可以通,说明笔记本电脑已经通过IPsec VPN隧道到达深圳总部防火墙的内网了。
④ telnet服务器的3389端口,也可以连接成功。说明访问远程桌面,应该是没有问题的。
⑤ 打开远程桌面,输入服务器的内网IP,点击【连接】。
⑥ 管理员在家里,通过FortiClient客户端IPsec VPN安全隧道,远程登录防火墙后的内网服务器了。
【经验总结】
我们用FortiClient客户端拨号到防火墙,通过SSL VPN和IPsec VPN两种方式访问内网的服务器。最终实现的功能是一样的。但是在操作上还是有明显区别。
共同点:
都需要预先配置用户、用户组,访问目标的IP地址对象、地址组。
差异:
SSL VPN需要先配置SSL- VPN门户,然后要配置SSL-VPN设置,最后是配置SSL-VPN策略。操作步骤较多。而IPsec VPN用向户分四个步骤就全部配置完成,操作步骤较少。
SSL VPN拨号的时候会出现证书提示,每次需要点击才能通过。IPsec VPN不会有这个提示。
SSL VPN支持浏览器直接访问,不需要客户端,当然支持协议有限。IPsec VPN则不支持。