【简介】通过对SSL VPN与IPsec VPN的对比，我们知道SSL VPN是基于应用层的VPN，而IPsec VPN是基于网络层的VPN，IPsec VPN对所有的IP应用均透明。我们看看怎么用FortiClient实现IPsec VPN远程访问。

---

  实验要求与环境

　　OldMei集团深圳总部部署了一台服务器，用来对所有内网的设备进行管理。为了方便管理员在任何位置都能访问，启用了远程桌面功能。

　　管理员除了对服务器进行远程访问外，还希望通过防火墙能够远程访问内网中的交换机、摄像机、打印机等设备。由于对底层设备访问过多，因此希望使用IPsec VPN进行远程访问。

   配置前的准备

　　在配置IPsec VPN隧道模式之前，我们同样需要准备一些要用到的内容。

　　① FortiClient客户端使用IPsec VPN也需要进行用户验证，这里我们就直接套用SSL VPN的用户组。具体创建方法查看前面的文章。

　　② 用户组内的用户也直接套用。当然也可以建立多个用户进行测试。

　　③ 同样也需要用到访问地址对象。

　　④ 以及地址组，由于这些在前面的SSL VPN里都创建了，我们就拿来用好了。如果重新开始配置，那么就要先准备好这些了。

  防火墙的配置

　　当我们准备好了基础数据后，就可以开始配置防火墙了。

　　① 管理员远程登录深圳总部防火墙，选择菜单【VPN】-【IPsec隧道】，点击【新建】-【IPsec隧道】。

　　② 自动切换到向导，输入自定义的名称，模板类型选择【远程拨号】，默认远程拨号设备为FortiClient。点击【下一步】。

　　③ 流入接口选择拨号的宽带口，认证方法默认为【预共享密钥】，这里自己填写一个自定义的密钥。配置FortiClient客户端的时候，也需要填写相同的密钥。选择用户组，拨号的时候需要输入用户组内的用户和密码。点击【下一步】。

　　④ 本地接口，选择连接服务器的DMZ口，本地地址，选择前面已经创建好的地址组。客户端地址范围需要手动填写，这点和SSL IPsec不同。为了清晰理解，用了一个和SSL VPN相近的地址网段，一个是134，一个是135。默认启用隧道分离，这里和SSL VPN的概念是一样的，如果前期做了SSL VPN的实验，这里就很容易理解了。点击【下一步】。

　　⑤ 客户端选项可以根据需求启用。点击【下一步】。

　　⑥ 所有配置完成，提示会生成地址、地址组、策略以及虚拟接口。点击【完成】。

　　⑦ VPN向导创建成功后，会显示【VPN已建立】，如果显示其它报错信息，就要查找原因了。点击【显示隧道列表】。

　　⑧ 在【IPsec隧道】菜单右侧，可以看到刚建立好的隧道，状态为不活跃。选择隧道，点击【编辑】。

　　⑨ 可以看到VPN隧道内容，后面我们还会详细讲解。

　　⑩ 选择菜单【策略&对象】-【地址】，可以看到向导自动创建了地址对象和地址组。

　　⑪ 选择菜单【防火墙策略】，可以看到向导自动创建了一条策略，编辑一条策略，策略内容是允许IPsec VPN虚拟接口访问DMZ接口下的服务器IP。默认启用了NAT，由于DMZ口和服务器IP在同一网段，这里需要关闭NAT。点击【确认】，这样防火墙的配置都完成了。

  FortiClient客户端的配置

　　这里我们默认已经下载并安装好了FortiClient客户端，有不了解的查看前面的文章。

　　① 管理员的笔记本电脑启动FortiClient客户端，点击VPN连接最右边图标，弹出菜单选择【建立新连接】。FortiClinet客户端可以创建多个连接。

　　② VPN选择【IPsec VPN】，输入自定义的连接名，远程网关填写深圳总部防火墙wan1接口的公网IP。这里SSL VPN不同的是，不用输入端口。但是需要填写共享密钥。这个共享密钥也就是防火墙配置时创建的。点击【保存】。

　　③ 回到上一层窗口，VPN连接已经变成新建的连接，输入用户名和密码，点击【连接】。

　　④ 和SSL VPN不同的时，IPsec VPN没有提示证书信息，直接连接成功。 

  验证效果

　　按SSL VPN的验证方式，我们来看一看IPsec VPN效果有什么不同。

　　① 在命令提示符下输入ipconfig/all，看到IPsec VPN拨号后也生成了一块虚拟网卡，并获得IP地址、网关和DNS。

　　② 用route print命令查看笔记本电脑的路由表，可以看到只有访问10.10.10.254时才会走隧道出去。这就是启用了隧道分离的结果。

　　③ ping服务器IP，可以通，说明笔记本电脑已经通过IPsec VPN隧道到达深圳总部防火墙的内网了。

　　④ telnet服务器的3389端口，也可以连接成功。说明访问远程桌面，应该是没有问题的。

　　⑤ 打开远程桌面，输入服务器的内网IP，点击【连接】。

　　⑥ 管理员在家里，通过FortiClient客户端IPsec VPN安全隧道，远程登录防火墙后的内网服务器了。

【经验总结】

　　我们用FortiClient客户端拨号到防火墙，通过SSL VPN和IPsec VPN两种方式访问内网的服务器。最终实现的功能是一样的。但是在操作上还是有明显区别。

　　共同点：

　　都需要预先配置用户、用户组，访问目标的IP地址对象、地址组。

　　差异：

　　SSL VPN需要先配置SSL- VPN门户，然后要配置SSL-VPN设置，最后是配置SSL-VPN策略。操作步骤较多。而IPsec VPN用向户分四个步骤就全部配置完成，操作步骤较少。

　　SSL VPN拨号的时候会出现证书提示，每次需要点击才能通过。IPsec VPN不会有这个提示。

　　SSL VPN支持浏览器直接访问，不需要客户端，当然支持协议有限。IPsec VPN则不支持。

---