实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

　　【简介】要想所有的流量都走安全隧道，就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙，再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。

---

  实验要求与环境

　　OldMei集团深圳总部防火墙有两条宽带，一条普通宽带用来上网，另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP，只有这个IP才能访问。

　　新冠疫情前，大家在公司办公，可以很方便的访问指定网站。新冠疫情后，全员居家办公，要求除了能安全的远程访问公司内部服务器外，也要能通过公司MPLS专线，访问指定网站。

  删除向导创建的IPsec VPN

　　前面我们用向导非常快速的就建好了访问内网的IPsec VPN。现有我们要创建访问宽带的IPsec VPN，那么最快速的办法，就是删除前面已建好的IPsec VPN，用向导重新创建一个。

　　① 远程登录深圳总部防火墙，选择菜单【VPN】-【IPsec隧道】，可以看到前面试验创建的IPsec隧道，【删除】按钮是灰色的，这是因为有关联，要删除IPsec隧道，必须先删除关联。点击最右边的关联项数字。

　　② 这里有两个关联项，一个是策略，一个是阶段2，选择策略，点击【删除】。

　　③ 关联的策略被删除，注意，并不是删除它们之间的联系，而是把策略真正的删除。同样也选择阶段2，点击【删除】。

　　④ 只有将IPsec隧道的关联项数字变为0，才可以删除这条IPsec隧道。

　　⑤ 对于自动创建的地址组和地址对象，我们也要进行删除，一是避免太多的地址对象引起误解。二是如果再次创建相同名称的IPsec隧道，自动创建地址同名对象会引起冲突。

　　⑥ 删除地址对象后，我们就把向导创建的内容删除干净了。下面可以再次使用向导创建IPsec隧道了。

  IPsec VPN向导

　　下面我们开始用向导创建访问远程防火墙宽带的IPsec VPN。

　　① 选择菜单【VPN】-【IPsec隧道】，点击【新建】-【IPsec隧道】，会自动启动IPsec向导。

　　② 输入自定义名称，模板类型选择【远程拨号】，默认选择FortiClient客户端。点击【下一步】。

　　③ 流入接口选择宽带接口，该接口需要有可以远程访问的公网IP。共享密钥可以自己编写，只要防火墙和FortiClient客户端两边都一样就行。用户组是用来验证登录用户的。前面已经讲解过了创建用户组和用户。点击【下一步】。

　　④ 由于我们是要将上网流量通过IPsec隧道到达总部防火墙，再从总部防火墙的宽带出去，所以本地接口选择了wan2，也就是深圳总部的另一条MPLS专线。地址地址选择【all】，自定义客户端地址范围，这里参考SSL VPN的默认地址对象内容，稍作修改。由于不同宽带DNS也不同，这里可以手动指定新的DNS。注意，要禁用隧道分离，这样所有流量才会走隧道。点击【下一步】。

　　⑤ 客户端选项启用自动连接和保持存活，后面我们看看会有什么不同。选择【下一步】。

　　⑥ 创建VPN之前，会提示将会创建接口、地址对象和策略。点击【完成】。

　　⑦ VPN按顺序创建成功，红色向下箭头是表示创建成功，还没有启动。不用在意。点击【显示隧道列表】。

　　⑧ 显示IPsec隧道创建成功，只是还没有FortiClient客户端拨入，因此状态是【不活跃】。

　　⑨ 向导自动创建了一条IPsec隧道虚拟接口走wan2上网的策略。如果要能过IPsec隧道访问DMZ接口的服务器，需要再手动创建一条策略。

　　⑩ 向导自动创建地址对象。这一次没有用到地址组。

  FortiClient客户端配置

　　虽然我们上一篇文章已经讲解了FortiClient客户端配置，但是为了文章阅读连惯性，这里再讲解一次。前提：笔记本电脑已经安装好FortiClient客户端。

　　① 管理员的笔记本电脑启动FortiClient客户端，点击VPN连接最右边图标，弹出菜单选择【建立新连接】。FortiClinet客户端可以创建多个连接。

 　　② VPN选择【IPsec VPN】，输入自定义的连接名，远程网关填写深圳总部防火墙wan1接口的公网IP。这里SSL VPN不同的是，不用输入端口。但是需要填写共享密钥。这个共享密钥也就是防火墙配置时创建的。点击【保存】。

　　③ 回到上一层窗口，VPN连接已经变成新建的连接，输入用户名和密码，点击【连接】。

　　④ 和SSL VPN不同的时，IPsec VPN没有提示证书信息，直接连接成功。 

  验证效果

　　这一次我们来看看与上一篇试验有什么不同。

　　① 在命令提示符下输入ipconfig/all，看到IPsec VPN拨号后生成了一块虚拟网卡，并获得IP地址、网关和DNS。其中DNS是我们指定的。

　　② 用route print命令查看笔记本电脑的路由表，可以看到所有访问0.0.0.0都走隧道出去。这就是禁用了隧道分离的结果。

　　③ 从笔记本电脑Ping远端防火墙Wan2接口，以及Wan2接口的下一跳，都可以通，但是Ping公网IP却不通，知道问题出在哪了吗？

　　④ 复习一下我们前面学习的内容，两条宽带的默认路由，Wan1的优先级是1，Wan2的优先级是5，所以所有的访问会走Wan1的网关。那有人要问了，为什么ping 172.16.188.188和172.16.188.1又能通？这是因为路由表里，有这个地址段的直连路由。

　　⑤ 解决办法很简单，创建一条强制IPsec流量走wan2接口的策略路由。由于已经拨号成功，可以用wan2接口IP登录远端防火墙。选择菜单【网络】-【策略路由】，点击【新建】。

　　⑥ 流入接口选择IPsec隧道虚拟接口，源地址选择向导自动创建的地址对象，目标地址选择ALL，流出接口，选择Wan2，输入Wan2的网关。最后点击确认。由于策略路由优先于静态路由，所以这条策略路由将强制IPsec隧道的所有流量走Wan2出去。

　　⑦ 策略路由的顺序是从上向下匹配，由于前二条策略路由的源地址与新建策略路由的源地址不同(一个IP网段是10.212.134.200-210，另一个是10.212.135.200-210），所以即使新建策略路由在最下面也不影响。

　　⑧ 再次Ping公网IP，显示可以上网了。

　　⑨ 退出FortiClient客户端，再次打开FortiClient客户端，就会看到界面出现了三个选项，这个就是向导里启用的客户端选项功能。

---