IPSec站点到站点VPN配置系列:

  1. 在Fortigate 60D之间设置IPSec站点到站点VPN(1)–基于路由的VPN
  2. 在Fortigate 60D之间设置IPSec站点到站点VPN(2)–基于策略的VPN
  3. 在Fortigate 60D之间设置IPSec站点到站点VPN(3)–集中器和故障排除
  4. 在Fortigate 60D之间设置IPSec站点到站点VPN(4)– SSL 虚拟专用网

抵制防火墙基于FortiOS手册5.2支持两种类型的站点到站点IPSec 虚拟专用网, 基于策略或基于路由。两种类型之间几乎没有区别。但是在实现上有所不同。基于路由的VPN创建一个虚拟IPsec网络接口,该接口将根据需要对其传输的任何流量进行加密或解密,因此基于路由的VPN也称为基于接口的VPN。通过特殊的安全策略实施基于策略的VPN,该策略将应用您在“阶段1”和“阶段2”设置中指定的加密。

基于路由的VPN:
对于基于路由的VPN,您可以在虚拟IPsec接口和连接到专用网络的接口之间创建两个安全策略。在一种策略中,虚拟接口是源。在另一个策略中,虚拟接口是目标。这两个策略的操作均为“接受”。这将创建双向策略,以确保流量将通过VPN双向流动。

基于策略的VPN:
对于基于策略的VPN,一个安全策略可实现双向通信。您必须选择IPSEC作为“操作”,然后选择在“阶段1”设置中定义的VPN隧道。然后,您可以根据需要在该策略中启用入站和出站流量,或者创建此类型的多个策略以不同方式处理不同类型的流量。例如,HTTPS流量可能不需要与FTP流量相同级别的扫描。

在本实验的第1部分中,将在FW1和FW2之间配置基于路由的VPN。

拓扑结构:

1.两个Fortigate 60D – FW1和FW2
2.交换机和路由器进行路由和连接
3. FW1具有WAN1 IP 10.9.32.8/24,内部IP 10.9.70.4/24
4. FW2具有WAN1 IP 10.9.17.8/24,内部IP 10.9.66.4/24、WAN2 IP 10.9.64.4/24、DMZ IP 10.9.144.4/24

目的:

在FW1和FW2之间建立IPSec隧道,以实现FW1的内部网络10.9.70.0/24和FW2的三个内部网络(10.9.66.0/24、10.9.64.0/24、10.9.144.0)之间的通信

设备:

基本配置:

@ FW1和FW2:FortiOS 5.0

FW2的配置步骤与FW1完全相同。

一种。接口配置:

wan1:10.9.32.4/24
内部:10.9.70.4/24

b。 虚拟专用网-IPsec-自动密钥(IKE) 

创建新的阶段1:

注意:本地接口是wan1,不是内部。默认情况下,大多数配置是默认设置。 Phase1策略名称为FW1-FW2_VPN,稍后将用作IPSec流量的接口名称。

创建新的阶段2:

注意:您不必指定源/目标地址。

C。创建本地和远程网络地址(有趣的流量由IPSec 虚拟专用网保护)

注意:远程网段在IPSec接口上。在创建防火墙策略之前,必须完成此步骤。否则,当您在接口上放置FW1-FW2_VPN时,您将获得条目正在使用错误。

d。在策略中创建两个防火墙规则:

一种是从内部网段到远程网络。另一个是从远程网络到内部网络。请记住规则顺序的优先级。您可能需要手动调整规则顺序。通常,IPSec流量将置于管理规则以外的其他规则之上。

e。为感兴趣的流量创建路线:

远程网段将路由到IPSec接口FW1-FW2_VPN

F。监视IPSec隧道:

参考:

通过 约翰

关于“在Fortigate 60D之间建立IPSec站点到站点VPN(1)–基于路由的VPN”的2条想法
  1. 感谢本文,对于我们的生产环境,我们没有指定任何STATIC路由,一旦VPN虚拟接口打开且该路由的距离为“ 1”,分支的路由就会自动填充。

发表评论