VPN篇(5.4) 02. IPsec VPN

        【简介】国内的宽带有很多国际网站不能访问，这对做外贸的企业来说很不方便，如果有分公司在香港，那么可以通过两边防火墙建立IPsec VPN通道，国内用户通过IPsec VPN通道走香港宽带上网。

---

  网络结构

        两台飞塔防火墙设备之间首先需要建立IPsec VPN隧道，保证两边的内网可以互相访问，然后允许隧道访问香港的互联网，再将内地访问的所有流量走隧道，这样就可以达到内地通过隧道走香港宽带上互联网了。

  香港 - 建立隧道

        这里我们以深圳和香港为例，假设网络环境是香港为固定IP宽带上网，深圳为ADSL拨号宽带上网。我们首先来配置香港防火墙。

        ① 选择菜单【虚拟专网】-【IPsec 向导】，点击【新建】。

        ② 输入自定义的用户名，建议包含设备两端地名，方便理解。默认模板类型默认为〖站到站〗，直接点击【下一个】。

        ③ 因为深圳宽带为ADSL拨号方式，IP地址随时会改变，这里随便输入一个IP地址，等会再修改。预共享密钥为自定义输入，两边防火墙要输入相同的预共享密钥。点击【下一个】。

        ④ 本地接口为允许从哪个内网接口去访问IPsec VPN隧道。本地子网会自动显示本地接口设置的IP地址段。远端子网则是要访问的深圳的内网地址段。点击【完成】。

        ⑤ 向导默认建立的是接口模式IPsec VPN，因此会自动建立一条路由，二条策略。点击【显示隧道列表】。

        ⑥ 我们需要手动修改一下IPsec VPN设置，以达到我们的要求，选择刚建立的隧道，点击【编辑】。

 香港 - 修改隧道

        由于向导建立IPsec VPN隧道时，会自动加载多层加密方式，在传输大量数据时，会明显影响速度，因此要对IPsec VPN隧道进行修改。

        ① 由向导建立的隧道，可以修改的内容很少，点击【转换为自定义隧道】。

        ② IPsec VPN隧道的设置被分为多个小节，点击小节右上角的【编辑】，可以对小节内容进行修改，这里点击〖网络〗右上角的【编辑】。

        ③ 因为深圳为ADSL拨号宽带，我们可以设置深圳防火墙的FortiGuard DDNS，这样通过域名可以得到外网IP地址。设置方法后面会介绍。点击钩图标确认。

        ④ 编辑〖阶段1 Proposal〗可以看到有多条加密认证，每条加密认证的后面有个垃圾箱图标，点击图标可以删除对应的加密认证。

        ⑤ 除了保留一条加密认证外，其它的都删除，同样的深圳防火墙设置时也只保留一组，要求内容一致。

        ⑥ 〖阶段2选择器〗可以看到允许互访的本地地址和远端地址，因为我们要通过隧道访问香港的宽带，因此不能在隧道内限制IP。点击笔的图标，进行修改。

        ⑦ 将本地地址和远端地址都改为0.0.0.0/0.0.0.0，点击高级左边的加号。

        ⑧ 〖阶段2 Proposal〗里也有多条加密认证，点击垃圾箱图标删除多余的加密认证。

        ⑨ 同样也只保留一条加密认证，点确条加密认证，点击【确认】保存修改。

          【提示】整个配置完成并测试通过后，建议将〖自动协商〗和〖自动密钥保持存活〗钩选。这样IPsec VPN会自动保持连接。

  香港 - 修改策略

        香港防火墙设置IPsec VPN完成后，还需要建立一条策略，允许IPsec VPN隧道访问香港宽带。

        ① 选择菜单【策略&对象】-【IPv4策略】，可以看到向导自动建立了两条来回访问的策略。点击【新建】。

        ② 用户名自定义，流入接口选择IPsec VPN隧道接口，流出接口为香港防火墙的外网接口，其它都选ALL。点击【确认】。这样香港防火墙就全部设备完了。

  深圳 - 配置DNS

        由于深圳防火墙外网是ADSL拨号宽带，IP地址随时会改变，我们需要在防火墙上设置FortiGuard DDNS，用域名来指定变化的IP地址，这个功能和国内的花生壳类似。

        ① 在深圳防火墙上选择菜单【网络】-【DNS】，打开FortiGuard DDNS选项，接口选择ADSL宽带连接的Wan1口，输入一个唯一定位词，下面会自动出现域名，以后通过这个域名就可以得到外网的IP地址了，即使每次ADSL连接IP地址改变。点击【应用】。

  深圳 -建立隧道

        深圳防火墙和香港防火墙一样，先是通过向导建立IPsec VPN隧道，然后对隧道配置进行修改。内容比较重复，但是为了让看客不走弯路，这里还是列出来。

        ① 选择菜单【虚拟专网】-【IPsec 向导】，点击【新建】。

        ② 输入自定义的用户名，建议包含设备两端地名，方便理解。默认模板类型默认为〖站到站〗，直接点击【下一个】。

        ③ 因为香港宽带为固定IP，所以这里输入香港宽带的IP地址，预共享密钥要与香港防火墙相同。点击【下一个】。

        ④ 本地接口为允许从哪个内网接口去访问IPsec VPN隧道。本地子网会自动显示本地接口设置的IP地址段。远端子网则是要访问的香港的内网地址段。点击【完成】。

        ⑤ 向导默认建立的是接口模式IPsec VPN，因此会自动建立一条路由，二条策略。点击【显示隧道列表】。

        ⑥ 我们需要手动修改一下IPsec VPN设置，以达到我们的要求，选择刚建立的隧道，点击【编辑】。

  深圳 -修改隧道

        和香港防火墙一样，修改IPsec VPN隧道，减少加密方式，使隧道速度不会受到太大的影响。

        ① 由向导建立的隧道，可以修改的内容很少，点击【转换为自定义隧道】。

        ② 点击〖阶段1 Proposal〗右上角的【编辑】。

        ③ 只保留一条加密认证，其它的删除。

        ④ 修改完后点击右上角钩图标，然后就可以继续对其它进行操作了。

        ⑤ 〖阶段2选择器〗可以看到允许互访的本地地址和远端地址，因为我们要通过隧道访问香港的宽带，因此不能在隧道内限制IP。点击笔的图标，进行修改。

        ⑥ 将本地地址和远端地址都改为0.0.0.0/0.0.0.0，点击高级左边的加号。

        ⑦ 〖阶段2 Proposal〗里也有多条加密认证，点击垃圾箱图标删除多余的加密认证。

        ⑧ 同样也只保留一条加密认证，点确条加密认证，点击【确认】保存修改。

          【提示】整个配置完成并测试通过后，建议将〖自动协商〗和〖自动密钥保持存活〗钩选。这样IPsec VPN会自动保持连接。

  深圳 - 修改策略及路由等

        因为是从深圳通过隧道访问香港宽带，而向导建立的访问隧道的策略限制了IP范围，所以需要对这条策略进行修改。

        ① 选择菜单【策略&对象】-【IPv4策略】，选择内网访问隧道策略，点击【编辑】。

        ② 将策略里面的〖目标地址〗改为【ALL】，这样就可以通过隧道访问更多内容了。

       ③ 选择菜单【网络】-【路由】，可以看到向导自动建立的走隧道的静态路由，选择路由，点击【编辑】，我们要修改目标地址，使更多内容可以走隧道。

       ④ 将目的地址改为0.0.0.0/0.0.0.0，这样所有数据都会走隧道出去，点击【确认】。

       ⑤ 选择菜单【监视器】-【路由监控表】，可以看到有两条0.0.0.0/0.0.0.0的静态路由，一条是拨号宽带自动产生的走本地网关出去，一条是走IPsec VPN隧道出去。两条静态路由，优先走哪条出去就很重要了。首先我们要确定管理距离一致。

       ⑥ 拨号宽带的路径长度默认是5，我们要将它改为10，因为静态路由路的管理距离是10。然后就是优先级了，拨号宽带的优先级默认是0，而IPsec VPN路由的的优先级也是0，在都是0的前提下，拨号宽带优先。我们需要修改拨号宽带的优先级，将数字设为比0大，这样隧道路由就优先了，所有数据就会走隧道了。

       ⑦ 修改拨号宽带路由优先级要用到命令行。在主窗口右上角点击admin，下拉菜单选择CLI Console，会有命令窗口弹出。

       ⑧ 拨号宽带接在防火墙的Wan1口，所以用上述命令编辑Wan1口，将优先级改为5。

  效果测试

        深圳、香港两边的防火墙都设置完成了，就可以连接测试，看看是否可以从深圳访问香港宽带了。

       ① 在深圳防火墙上选择菜单【监视器】-【IPsec监视器】，鼠标右击隧道，弹出菜单中选择【启用】。

       ② VPN连通后，会出现向上的绿色箭头。可以多启动几次。

       ③ 在命令行下，先定义源IP地址，再Ping对方防火墙的内网接口地址，如果能够Ping通，说明VPN是连通的。

       ④ 修改DNS服务器为香港及国际通用地址。

       ⑤ 可以用Google看新闻了。

       ⑥ 也可以用YouTube看视频了。

       ⑦ 选择菜单【FortiView】-【会话】，可以看到访问都是通过IPsec VPN隧道出去的。

          【提示】访问国际互联网，请遵守国家法律与策略。

飞塔技术-老梅子   QQ：57389522

---