VPN篇(5.2)－04. IPsec VPN 点到点 (固定-拨号) ❀ 飞塔 (Fortinet) 防火墙

        【简介】现在很多单位都有分公司或者分部，距离离的还比较远，但又经常需要两点之间进行安全的通迅，防火墙与防火墙之间建立IPsec VPN可以很好满足要求，固定IP宽带和ADSL拨号宽带都很常见，这里介绍两种不同宽带连接IPsec VPN的配置方法。

---

  IPsec VPN 的作用

        VPN作为一项成熟的技术，广泛应用于组织总部和分支机构之间的组网互联，其利用组织已有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来。　　

        IPsec VPN通常是由防火墙与防火墙之间建立连接，但也可以通过远程的客户端与防火墙建立IPsec VPN连接。

  环境介绍

        飞塔防火墙的IPsec VPN有两种模式，默认的是接口模式，也就是需要一条路由二条策略的那种，还有一种是策略模式，不需要路由，只需要一条策略就可以了，配置相对来说比较简单，这次我们看看策略模式怎么配置IPsec VPN。

        ① 选择菜单【系统管理】-【配置】-【特性】，这里有一些配置的开关，只有打开后功能选项才会出现。

        ② 向下翻页，点击【显示更多】按钮。

        ③ 选择打开基于策略的IPsec VPN选项，点击【应用】按钮。

        ④ 这样在新建VPN隧道时就可以切换接口模式和策略模式了（不选择接口模式即为策略模式）。

  配置 IPsec VPN 隧道

        为了能够更好的理解两端IPsec VPN设置的区别，我们将两边的设置放在一起介绍。

        ① 选择菜单 【虚拟专网】-【IPsec】-【 隧道】，点击 Create New 新建一条隧道。

        ② 给隧道取个用户名，建议使用地名缩写加设备缩写，两地之间用减号连接，这样可以比较直观的知道VPN的方向，选择无模板方式。

        ③ FortiGate 90D 与 FortiGate 60D VPN隧道对比。

        (1) 此项如果没有显示，则默认为接口模式，需要在菜单【系统管理】-【配置】-【 特性】里打开基于策略的IPsec VPN功能才可以看到，这里使用策略模式，所以取消打钩 ；

        (2) 这里90D具有固定IP，因此对方远程网关选择的是拨号网络，也就是非固定IP地址，而60D的远程网关为90D的固定IP，这样即使60D每次IP不同，但由于是60D发起到对方固定IP，所以每次仍可以连通。

        (3) 预共享密钥为自定义，要求两边必须相同；

        (4) 由于都是动态IP，所以模式选择aggressive；

        (5) 阶段一的加密可以为单层或多层，加密越多反应越慢，这里只保留一层加密，两边设置必须相同；

        (6) 同样阶段一的Diffire-Hellman也只保留了一个选项；

        (7) 输入对应的本地子网与对方子网的IP地址范围；

        (8) 阶段二的加密同样可以为单层或多层，加密越多反应越慢，这里只保留一层加密，两边设置必须相同；

        (9) 同样阶段二的Diffire-Hellman也只保留了一个选项。

        (10) 自动密钥保持存活选项打钩。

  配置策略

        IPsec VPN策略模式需要手动建立一条策略。

        ① 选择菜单【策略&对象】-【策略】-【IPv4】，点击 Create New 新建一条策略；

        ② FortiGate 90D 与 FortiGate 60D 策略对比：

        (1) 流入接口选择内网口；

        (2) 源地址为当前设备的内网地址范围，下拉选项里没有的情况下可以新建立一个地址对象；

        (3) 流出接口选择外网口；

        (4) 目的地址为需要访问设备的地址范围，下拉选项里没有的情况下可以新建立一个地址对象；

        (5) 服务选择所有，也可以根据实际情况选择允许访问的服务，例如Web服务、文件服务等；

        (6) 动作选择IPsec；

        (7) 因为前面已经建立了VPN隧道，所以VPN隧道选择使用现有；

        (8) 下拉选择建立好了的VPN隧道，如果是接口模式而非策略模式，这个下拉选项是灰色不可操作；

        (9) 允许从远端站点发起流量，这个选项要打钩。

  修改策略顺序

        因为已经有了一条相同流入、流出接口的上网策略，再加上VPN策略，这个时候策略的顺序就很重要了，因为策略是按顺序是从上往下执行的。

        ① 新建立的策略默认排列在最下层，需要将策略移到顶部，优先执行。

        ② 鼠标移到策略最左边的序号上，光标会变成十字箭头，按住鼠标拖动，即可更改策略顺序。

  启动 IPsec VPN

        IPsec VPN建成后需要启动连接。

        ① 选择菜单【虚拟专网】-【监视器】-【IPsec 监视器】，VPN 状态为断开，鼠标在 VPN 上点击右键，弹出子菜单，点击启用。

        ② 当 IPsec 监视器中的 VPN 状态显示为绿色向上箭头时，表明 VPN 已经连接成功。。

飞塔技术-老梅子   QQ：57389522

---