IPSec站点到网站VPN配置系列:

  1. 将IPSec站点设置为FortiGate 60D(1) - 基于路由的VPN之间的站点VPN
  2. 将IPSec站点设置为FortiGate 60D(2) - 基于策略的VPN之间的站点VPN
  3. 在FortiGate 60D(3) - 集中器和故障排除之间,将IPSec站点设置为站点VPN
  4. 在FortiGate 60D(4) - SSL VPN之间设置IPSec站点到站点VPN

在基于策略和基于路由的IPSec VPN之后,这篇文章将快速测试FortiGe集中器功能。

VPN.集中器将轮毂和辐条隧道收集到组中。集中器允许VPN流量通过FortiGate单元通过一个隧道。 FortiGate单元在集线器网络中作为集中器或集线器功能。

如果VPN对等体是一个作为集线器或集中器的FortiGate单元,则需要将其连接到每个辐条(自动阶段1和2设置或Manual Key Settings,Plus Encrypt Policies)的AVPN配置。它还需要将集中器隧道组合在一起的集中器配置。 ChertheratorConfiguration将FortiGate单元定义为集线器中的集线器中的集线器。如果VPN对等体是其中一个辐条,则需要将其连接到集线器的隧道(向其他辐条)。它还要求控制其加密连接的策略,另一个辐条和其非加密连接到其他网络,例如internet。

拓扑:

FW3增加了我们之前的基于路由和基于策略的VPN实验室中使用的拓扑。 FW3将充当另一个辐条,与FW1相同。 FW2将是集线器或集中器。

相片:

配置:

1. @ F3:由于F1和F2之间的VPN隧道来自上一个实验室,第一步将在F2和F3之间构建另一个VPN隧道。

创建所有本地地址对象和远程地址对象。远程对象将由F1和F2包含受保护的网络。

创建一个新规则,以允许将本地网络与新的IPSec VPN隧道进行远程网络。 
将新规则推广到列表的顶部:

2. @ F2。使用F2和F3之间的新VPN隧道创建新的策略规则。

为F3创建新的远程网络。
创建几个新规则以允许本地网络使用新的VPN隧道F2-F3访问远程F3的网络。
由于F2后面有三个本地网络,因此将创建三种新规则。 
注意:无需创建规则以允许辐射流量通过它们。 
在VPN - IPSec - 自动键(IKE)中,F2-F3 VPN隧道配置文件将在那里。 


此时,F2和F3之间的隧道配置,应从IPSec监视选项卡上升起。

3.为两个辐条,F1和F3之间的流量配置F1。

将F3受保护的网络添加到防火墙对象 - 地址 - 地址:

将新地址对象添加到防火墙策略规则中:

4.在F2 HUB上配置集中器

从VPN-IPSec - 集中器创建一个新的Conentrator。
给出F1-F2-F3作为名称,并选择Hub-Spoy VPN隧道作为成员:

5.品脱试验:

这是F1本地网络主机10.9.70.20的测试。在F2配置的集中器之前,Ping到10.19.144.4超时。

一旦步骤4的集中器配置完成,Ping立即回复。

10.9.70.20至10.19.144.4的TRACERT结果:

C:文件和设置 >Tracert 10.19.144.4
追踪路线到10.19.144.4最多30次
  1    <1 ms    <1 ms    <1 ms  10.9.70.4
  2     1 ms    <1 ms    <1 ms  10.9.17.8
  3 1 ms 1 ms 1 ms 10.19.144.4
追踪完成。

疑难解答命令:

FGT60D# 诊断VPN隧道Stat
dev = 0 tunnel = 1 proxyid = 1 sa = 1 curn = 0向上= 1

FGT60D# 诊断VPN隧道列表
列出VD 0中的所有IPSec隧道
------------------
name = f1-f2 ver = 1 serial = 3 10.9.32.8:0->10.9.17.8:0 lgwy =静态tun =隧道模式= auto bound_if = 5
proxyid_num = 1 child_num = 0 Refcnt = 8 ilast = 3 olast = 3
stat:rxp = 8 txp = 12 rxb = 600 txb = 720
DPD:Mode =活动in = 1空闲= 5000ms重试= 3 count = 0 seqno = 16517
NATT:MODE = NONE绘图= 0 Interval = 0 Remote_port = 0
proxyid = _f1-f2_tun_ proto = 0 sa = 1 ref = 2 auto_negotiate = 1序列= 1
  SRC:0:0.0.0.0 / 0.0.0:0
  DST:0:0.0.0.0 / 0.0.0.0:0
  SA:Ref = 6选项= 0000002F类型= 00 soft = 0 mtu = 1412 expire = 399重印= 1024 s eqno = 3
  寿命:类型= 01字节= 0/0 Timeout = 1777/1800
  DEC:SPI = 1935DA05 ESP = AES键= 32 AA7F520B5457BC16F97C5CFC43483EB1C9B54F853DEF0 8213CA068506F9CB103
       ah = sha1键= 20 b69c401862a7b6320d92e36b0d400f95320852a9
  ENC:SPI = 7B5DFDE9 ESP = AES键= 32 0dbcde0df85b6d31dfdceded16314ff1a4f9977e8fdb bed655ee9ddd0ccc80c
       AH = SHA1键= 20 F6543BD37CFCBD5CCF881340F4B651940B34684D
  Dec:PKT / BYTES = 1/60,ENC:PKT / BYTES = 2/240
  npu_flag = 03 npu_rgwy = 10.9.17.8 npu_lgwy = 10.9.32.8 npu_selid = 3

FGT60D# 诊断调试应用IKE 255

FGT60D# 诊断使启用启用

FGT60D#立金般0:来自10.9.32.8:500->10.9.17.8:500,ifindex=5...
IKE 0:IKEV1 Exchange =信息ID = DA8B0EB3B674CD8E / C0B55E04F98318F5:CA3CF88 1 LEN = 92
IKE 0:在DA8B0EB3B674CD8EC0B55E04F98318F508100501CA3CF8810000005C85114C19CFD9A0 E3ECE0331A8A6134E1424AD7F8D516523A8D3421F260A17EFFAC75CD4FE3A283CD02832C07B5636B 832E8E976E26A2376FA50F77D94B3D7620
IKE 0:F2-F1:104:癸DA8B0EB3B674CD8EC0B55E04F98318F508100501CA3CF8810000005C0B0 00018A23349616A88AF99FFEB71BDB181733E48597075000000200000000101108D28DA8B0EB3B67 4CD8EC0B55E04F98318F5000040B28799820191C3D307
IKE 0:F2-F1:104:通知MSG收到:R-U-with
IKE 0:F2-F1:104:ENC DA8B0EB3B674CD8EC0B55E04F98318F5081005013FB65E04000000540B0 00018A3902503765FF73A4AEB0F8D8DBCCC04A0E1BD63000000200000000101108D29DA8B0EB3B67 4CD8EC0B55E04F98318F5000040B2
IKE 0:F2-F1:104:出DA8B0EB3B674CD8EC0B55E04F98318F5081005013FB65E040000005C7E1 54F5BEE4DEB627A700A84B0CB3C0098B5962BFA6CED080EAC0B5BF0E406D2ED7C4EC054B05F97A20 4A1B812D946597958233BBBA2D5CB7A2ABA6EFB70B6CE
IKE 0:F2-F1:104:发送IKE MSG(R-U-There-Ack):10.9.17.8:500->10.9.32.8:500,l en = 92,ID = DA8B0EB3B674CD8E / C0B55E04F98318F5:3FB65E04
IKE 0:F2-F1:链接空闲5.9.17.8->10.9.32.8:0 dpd = 1 seqno = 40ac
IKE 0:来自10.9.32.8:500->10.9.17.8:500,ifindex=5...
IKE 0:IKEv1 Exchange =信息ID = DA8B0EB3B674CD8E / C0B55E04F98318F5:60B967F2 LEN = 92
IKE 0:在DA8B0EB3B674CD8EC0B55E04F98318F50810050160B967F20000005CB93CFF645F24AAD1702B89F758E4691C3A67210427BB251023BD3137C605D21D55585C435F25627A09A6242A5C4280EFA4B40E37AEF95224E33308D50465F0F9
IKE 0:F2-F1:104:癸DA8B0EB3B674CD8EC0B55E04F98318F50810050160B967F20000005C0B000018F7DB4421DE4D8FE837A092498CC9FC19144E120D000000200000000101108D28DA8B0EB3B674CD8EC0B55E04F98318F5000040B30821732F98702307
IKE 0:F2-F1:104:通知MSG收到:R-U-with
IKE 0:F2-F1:104:ENC DA8B0EB3B674CD8EC0B55E04F98318F508100501C910E3AF000000540B0000189A4BC0E8ACAAD4C3336B442280051149189B1574000000200000000101108D29DA8B0EB3B674CD8EC0B55E04F98318F5000040B3
IKE 0:F2-F1:104:出DA8B0EB3B674CD8EC0B55E04F98318F508100501C910E3AF0000005CEC41A52E04D7316299F3DBCE4005D26AE26AFE40F3ADA9ADBF24652041B6836EB942D004846F1B61F528980E9E3B9811CB6AC66B6C6DE439DF98CBC247BA4206
IKE 0:F2-F1:104:发送IKE MSG(R-U-There-Ack):10.9.17.8:500->10.9.32.8:500,LEN = 92,ID = DA8B0EB3B674CD8E / C0B55E04F98318F5:C910E3AF
IKE 0:F2-F1:链接空闲5.9.17.8->10.9.32.8:0 DPD = 1 SEQNO = 40AD
IKE缩减了122880字节
IKE 0:来自10.9.32.8:500->10.9.17.8:500,ifindex=5...
IKE 0:IKEv1 Exchange =信息ID = DA8B0EB3B674CD8E / C0B55E04F98318F5:60199215 LEN = 92
IKE 0:在DA8B0EB3B674CD8EC0B55E04F98318F508100501601992150000005C202E2B7EC4FD78A9A47A7BAADC85BBBA1240E38168A3E1FF37450B96DA085B38096EFC3352AF7D457DF3D66674BA6848093BFD670234A7E9AC32297AF7A35F73
IKE 0:F2-F1:104:癸DA8B0EB3B674CD8EC0B55E04F98318F508100501601992150000005C0B0000188389BC2895680F8618F031B82FB9DA3FEB9C6769000000200000000101108D28DA8B0EB3B674CD8EC0B55E04F98318F5000040B4B478A703A2351A07
IKE 0:F2-F1:104:通知MSG收到:R-U-with
IKE 0:F2-F1:104:ENC DA8B0EB3B674CD8EC0B55E04F98318F5081005013AB0F2D6000000540B0000182AAE9F0D1D6178FF2826ABD38FCE35A17107CD42000000200000000101108D29DA8B0EB3B674CD8EC0B55E04F98318F5000040B4
IKE 0:F2-F1:104:出DA8B0EB3B674CD8EC0B55E04F98318F5081005013AB0F2D60000005C84CD92EF75CD2D72941E654D9C1F27D43038A5D56287736BABF6232A5744E413A2A4AC5FFEEA28AA1A51FAD159536748874E6D7F692750CC060C9619E727DD25
IKE 0:F2-F1:104:发送IKE MSG(R-U-There-Ack):10.9.17.8:500->10.9.32.8:500,LEN = 92,ID = DA8B0EB3B674CD8E / C0B55E04F98318F5:3AB0F2D6
IKE 0:F2-F1:链接空闲5.9.17.8->10.9.32.8:0 dpd = 1 seqno = 40ae

FGT60D# 诊断调试重置
FGT60D# 诊断调试禁用

参考:

经过 Jon.

发表评论