IPSec站点到站点VPN配置系列：

1. 在Fortigate 60D之间设置IPSec站点到站点VPN（1）–基于路由的VPN
2. 在Fortigate 60D之间设置IPSec站点到站点VPN（2）–基于策略的VPN
3. 在Fortigate 60D之间设置IPSec站点到站点VPN（3）–集中器和故障排除
4. 在Fortigate 60D之间设置IPSec站点到站点VPN（4）– SSL 虚拟专用网

抵制防火墙基于FortiOS手册5.2支持两种类型的站点到站点IPSec 虚拟专用网， 基于策略或基于路由。两种类型之间几乎没有区别。但是在实现上有所不同。基于路由的VPN创建一个虚拟IPsec网络接口，该接口将根据需要对其传输的任何流量进行加密或解密，因此基于路由的VPN也称为基于接口的VPN。通过特殊的安全策略实施基于策略的VPN，该策略将应用您在“阶段1”和“阶段2”设置中指定的加密。

基于路由的VPN：
对于基于路由的VPN，您可以在虚拟IPsec接口和连接到专用网络的接口之间创建两个安全策略。在一种策略中，虚拟接口是源。在另一个策略中，虚拟接口是目标。这两个策略的操作均为“接受”。这将创建双向策略，以确保流量将通过VPN双向流动。

基于策略的VPN：
对于基于策略的VPN，一个安全策略可实现双向通信。您必须选择IPSEC作为“操作”，然后选择在“阶段1”设置中定义的VPN隧道。然后，您可以根据需要在该策略中启用入站和出站流量，或者创建此类型的多个策略以不同方式处理不同类型的流量。例如，HTTPS流量可能不需要与FTP流量相同级别的扫描。

在本实验的第1部分中，将在FW1和FW2之间配置基于路由的VPN。

拓扑结构：

1.两个Fortigate 60D – FW1和FW2
2.交换机和路由器进行路由和连接
3. FW1具有WAN1 IP 10.9.32.8/24，内部IP 10.9.70.4/24
4. FW2具有WAN1 IP 10.9.17.8/24，内部IP 10.9.66.4/24、WAN2 IP 10.9.64.4/24、DMZ IP 10.9.144.4/24

目的：

在FW1和FW2之间建立IPSec隧道，以实现FW1的内部网络10.9.70.0/24和FW2的三个内部网络（10.9.66.0/24、10.9.64.0/24、10.9.144.0）之间的通信

设备：

基本配置：

@ FW1和FW2：FortiOS 5.0

FW2的配置步骤与FW1完全相同。

一种。接口配置：

wan1：10.9.32.4/24
内部：10.9.70.4/24

b。 虚拟专用网-IPsec-自动密钥（IKE） 

创建新的阶段1：

注意：本地接口是wan1，不是内部。默认情况下，大多数配置是默认设置。 Phase1策略名称为FW1-FW2_VPN，稍后将用作IPSec流量的接口名称。

注意：您不必指定源/目标地址。

C。创建本地和远程网络地址（有趣的流量由IPSec 虚拟专用网保护）

d。在策略中创建两个防火墙规则：

一种是从内部网段到远程网络。另一个是从远程网络到内部网络。请记住规则顺序的优先级。您可能需要手动调整规则顺序。通常，IPSec流量将置于管理规则以外的其他规则之上。

e。为感兴趣的流量创建路线：

F。监视IPSec隧道：

参考：

• FortiOS手册– FortiOS 5.2的IPsec 虚拟专用网
• 设置站点到站点IPSec 虚拟专用网（基本）（Youtube）