实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  【简介】要想所有的流量都走安全隧道,就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙,再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。


  实验要求与环境

  OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。

  新冠疫情前,大家在公司办公,可以很方便的访问指定网站。新冠疫情后,全员居家办公,要求除了能安全的远程访问公司内部服务器外,也要能通过公司MPLS专线,访问指定网站。

  删除向导创建的IPsec VPN

  前面我们用向导非常快速的就建好了访问内网的IPsec VPN。现有我们要创建访问宽带的IPsec VPN,那么最快速的办法,就是删除前面已建好的IPsec VPN,用向导重新创建一个。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第1张图片

  ① 远程登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,可以看到前面试验创建的IPsec隧道,【删除】按钮是灰色的,这是因为有关联,要删除IPsec隧道,必须先删除关联。点击最右边的关联项数字。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第2张图片

  ② 这里有两个关联项,一个是策略,一个是阶段2,选择策略,点击【删除】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第3张图片

  ③ 关联的策略被删除,注意,并不是删除它们之间的联系,而是把策略真正的删除。同样也选择阶段2,点击【删除】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第4张图片

  ④ 只有将IPsec隧道的关联项数字变为0,才可以删除这条IPsec隧道。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第5张图片

  ⑤ 对于自动创建的地址组和地址对象,我们也要进行删除,一是避免太多的地址对象引起误解。二是如果再次创建相同名称的IPsec隧道,自动创建地址同名对象会引起冲突。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第6张图片

  ⑥ 删除地址对象后,我们就把向导创建的内容删除干净了。下面可以再次使用向导创建IPsec隧道了。

  IPsec VPN向导

  下面我们开始用向导创建访问远程防火墙宽带的IPsec VPN。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第7张图片

  ① 选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】,会自动启动IPsec向导。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第8张图片

  ② 输入自定义名称,模板类型选择【远程拨号】,默认选择FortiClient客户端。点击【下一步】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第9张图片

  ③ 流入接口选择宽带接口,该接口需要有可以远程访问的公网IP。共享密钥可以自己编写,只要防火墙和FortiClient客户端两边都一样就行。用户组是用来验证登录用户的。前面已经讲解过了创建用户组和用户。点击【下一步】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第10张图片

  ④ 由于我们是要将上网流量通过IPsec隧道到达总部防火墙,再从总部防火墙的宽带出去,所以本地接口选择了wan2,也就是深圳总部的另一条MPLS专线。地址地址选择【all】,自定义客户端地址范围,这里参考SSL VPN的默认地址对象内容,稍作修改。由于不同宽带DNS也不同,这里可以手动指定新的DNS。注意,要禁用隧道分离,这样所有流量才会走隧道。点击【下一步】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第11张图片

  ⑤ 客户端选项启用自动连接和保持存活,后面我们看看会有什么不同。选择【下一步】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第12张图片

  ⑥ 创建VPN之前,会提示将会创建接口、地址对象和策略。点击【完成】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第13张图片

  ⑦ VPN按顺序创建成功,红色向下箭头是表示创建成功,还没有启动。不用在意。点击【显示隧道列表】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第14张图片

  ⑧ 显示IPsec隧道创建成功,只是还没有FortiClient客户端拨入,因此状态是【不活跃】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第15张图片

  ⑨ 向导自动创建了一条IPsec隧道虚拟接口走wan2上网的策略。如果要能过IPsec隧道访问DMZ接口的服务器,需要再手动创建一条策略。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第16张图片

  ⑩ 向导自动创建地址对象。这一次没有用到地址组。

  FortiClient客户端配置

  虽然我们上一篇文章已经讲解了FortiClient客户端配置,但是为了文章阅读连惯性,这里再讲解一次。前提:笔记本电脑已经安装好FortiClient客户端。

  ① 管理员的笔记本电脑启动FortiClient客户端,点击VPN连接最右边图标,弹出菜单选择【建立新连接】。FortiClinet客户端可以创建多个连接。

   ② VPN选择【IPsec VPN】,输入自定义的连接名,远程网关填写深圳总部防火墙wan1接口的公网IP。这里SSL VPN不同的是,不用输入端口。但是需要填写共享密钥。这个共享密钥也就是防火墙配置时创建的。点击【保存】。

  ③ 回到上一层窗口,VPN连接已经变成新建的连接,输入用户名和密码,点击【连接】。

  ④ 和SSL VPN不同的时,IPsec VPN没有提示证书信息,直接连接成功。 

  验证效果

  这一次我们来看看与上一篇试验有什么不同。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第17张图片

  ① 在命令提示符下输入ipconfig/all,看到IPsec VPN拨号后生成了一块虚拟网卡,并获得IP地址、网关和DNS。其中DNS是我们指定的。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第18张图片

  ② 用route print命令查看笔记本电脑的路由表,可以看到所有访问0.0.0.0都走隧道出去。这就是禁用了隧道分离的结果。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第19张图片

  ③ 从笔记本电脑Ping远端防火墙Wan2接口,以及Wan2接口的下一跳,都可以通,但是Ping公网IP却不通,知道问题出在哪了吗?

  ④ 复习一下我们前面学习的内容,两条宽带的默认路由,Wan1的优先级是1,Wan2的优先级是5,所以所有的访问会走Wan1的网关。那有人要问了,为什么ping 172.16.188.188和172.16.188.1又能通?这是因为路由表里,有这个地址段的直连路由。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第20张图片

  ⑤ 解决办法很简单,创建一条强制IPsec流量走wan2接口的策略路由。由于已经拨号成功,可以用wan2接口IP登录远端防火墙。选择菜单【网络】-【策略路由】,点击【新建】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第21张图片

  ⑥ 流入接口选择IPsec隧道虚拟接口,源地址选择向导自动创建的地址对象,目标地址选择ALL,流出接口,选择Wan2,输入Wan2的网关。最后点击确认。由于策略路由优先于静态路由,所以这条策略路由将强制IPsec隧道的所有流量走Wan2出去。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第22张图片

  ⑦ 策略路由的顺序是从上向下匹配,由于前二条策略路由的源地址与新建策略路由的源地址不同(一个IP网段是10.212.134.200-210,另一个是10.212.135.200-210),所以即使新建策略路由在最下面也不影响。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第23张图片

  ⑧ 再次Ping公网IP,显示可以上网了。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问_第24张图片

  ⑨ 退出FortiClient客户端,再次打开FortiClient客户端,就会看到界面出现了三个选项,这个就是向导里启用的客户端选项功能。


你可能感兴趣的:(NSE4,FortiOS,7.2,实验,FortiOS,7.2,实验,IPsec,隧道,宽带)