VPN篇(5.6) 03. 向导快速建立点对点IPsec VPN ❀ 飞塔 (Fortinet) 防火墙

        【简介】前面我们分析了建立IPsec VPN需要知道哪些条件，又知道宽带分为哪些类型，下面就可以用向导来快速建立IPsec VPN连接了。

---

  测试环境

        根据前面的学习，我们知道建立IPsec VPN连接需要知道对方的五个参数。

        如果是对方建立好了IPsec VPN，需要我们建VPN与对方连接，那么对方必须提供给我们五个参数：1、网关IP地址或域名；2、预共享密钥；3、第一阶段加密认证；4、允许访问的内网地址；5、第2阶段加密与认证。

        如果是两边的防火墙都由一个人来配置，那就好办了，因为条件2、3、5都可以由你来自定义，需要知道的只有双方的外网接口与地址和内网接口与地址。

        这里用两台飞塔防火墙做测试，系统版本为5.6.2，一台是FortiGate 60E，一台是FortiGate 100D。

        FortiGate 60E:      外网接口 Wan1    外网地址 113.118.168.160     内网接口 Internal    内网地址 192.168.28.0

        FortiGate 100D:   外网接口 Wan1    外网地址 183.17.227.57    内网接口 Port2    内网地址 172.18.2.0

  向导建立 VPN - 60E

        飞塔防火墙有VPN向导功能，可以快速的建立VPN。

        ① 登录FortiGate 60E防火墙，选择菜单【虚拟专网】-【IPsec向导】，输入一个用户名，我们可以用两边地名或设备名做标记。这个我们假设环境是两台防火墙都是直接接外网，所以默认远端设备类型为〖FortiGate〗，NAT配置为〖站点之间没有NAT〗，后面我们会了解不同宽带方式下的VPN连接。点击【下一个】。

        ② 我们已经知道对方外网的IP地址，因此远端设备默认为〖IP地址〗，输入对方设备（100D）的外网地址。如果本设备只接有一根宽带的话，会自动在流出接口显示出来。如果有多条宽带，就需要手动选择。输入预共享密钥，可以是任何字符或数字，只要两台设备输入的内容都相同就行。点击【下一个】。

        ③ 选择本地接口，也就是连接电脑的内网接口，会自动显示接口的IP地址网段，再手动输入需要远程访问对方的哪个网段，点击【完成】。

        ④ 显示VPN已经建好了，创建了阶段1与阶段2接口，一条静态路由，两条一进一出的策略。还有一些地址组与地址对象。我们分析过VPN建立需要五个参数，其中的网关IP、内网IP和密钥都有输入，但阶段1和阶段2的加密与认证没有输入，这是因为模板已经自定义了加密方式，两边都用向导创建VPN的时候加密方式都是默认且一致的。点击【显示隧道列表】。

        ⑤ 我们可以看到IPsec 隧道已经建好了，但状态为停用。

  向导建立 VPN - 100D

        用同样的方法，我们在100D上用向导建立IPsec VPN。

        ① 这次登录的是FortiGate 100D防火墙，选择菜单【虚拟专网】-【IPsec向导】，输入用户名，点击【下一个】。

        ② 输入ForotiGate 60E防火墙的外网IP地址，输入与60E相同的预共享密钥，点击【下一个】。

        ③ 选择本地接口，也就是连接电脑的内网接口，会自动显示接口的IP地址网段，再手动输入需要远程访问对方的哪个网段，点击【完成】。

        ④ 显示VPN已经建好了，点击【显示隧道列表】。

        ⑤ 我们可以看到IPsec 隧道已经建好了，状态也为停用。

  启用及验证

        向导建立VPN后，默认情况停用状态，需要手动启用。

        ① 因为两边的宽带IP地址都可以远程拨入，所以在哪边启用VPN（拨入）都是可以的，在这还是在100D，在菜单选择【监视器】-【IPsec监视器】，选择刚才建立的IPsec 隧道，点击【启用】。

        ② 可以看到状态被成了绿色向上箭头，表示VPN连接成功。

        ③ 在菜单选择【日志&报表】-【VPN事件】，可以看到两个UP动作，分别是阶段1和阶段2连通了，然后每十分钟会记录一次隧道状态。

        ④ 点击右上角的命令图标，进入CLI控制台，先用execute ping-options source 命令定义源IP地址为内网接口的IP地址，再用execute ping 命令Ping 远程60E的内网接口IP地址，如果Ping通了，说明是通过VPN隧道到达远程的60E的。

  不同宽带建VPN

        经过前面的分析，我们知道宽带可以分为PPPoE拨号宽带和固定IP宽带，还有一种是不能远程访问的宽带，那么建VPN时选择也是不同的。

        ① 我们在原来已经建好的VPN基础上更改宽带，在菜单选择【虚拟专网】-【IPsec 隧道】，选择刚才建立的IPsec 隧道，点击【编辑】。

        ② 点击【转换为主定义隧道】，这样可以对隧道内容进行修改。

        ③ 点击〖网络〗右边的【编辑】。

        ④ 点击〖远程网关〗右边的下拉箭头，可以看到有三种方式：静态IP地址、拨号用户、动态DNS，分别对应三种宽带。

        ⑤ 这里列出各种类型宽带互联VPN的设置，总有一款适合你。

        ⑥ 需要注意的是，以上各种宽带方案中，只有第一种两端都是固定IP地址的，模式可以选择为主摸式，有任何一边不能设置IP地址的，防火墙两边都必须设置为野蛮模式，否则VPN连接不上。

飞塔技术 - 老梅子   QQ：57389522

---