【简介】IPsec VPN虽然价廉物美,但是由运营商原因,经常会出访问慢、不稳定甚至断开的情况,好在现在大多数企业都有二条甚至更多条宽带,我们可以创建多条IPsec VPN,来保证正常访问。
实验要求与环境
OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。
OldMei集团上海分公司为ADSL拨号宽带,IP经常会变,又需要访问指定网站,另外由于上海分公司规模比较小,没有专业管理人员,深圳总部要求上海分公司所有上网流量必须经过深圳总部防火墙,由深圳总部管理员进行安全管理和上网分配。另外要求上海分公司能长期安全稳定的访问深圳服务器。
解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。上海分公司为ADSL拨号宽带,IP经常会变,因此只能由上海分公司防火墙拨号至深圳总部防火墙,单向发起连接。另外,所有流量都通过隧道到达深圳总部防火墙,通过深圳总部防火墙wan2接口上网。上海分公司在现有单条宽带的情况下再增加一条宽带,这样可以创建两条IPsec VPN,进行负载均衡。
实验目标:笔记本电脑网卡连接上海分公司internal接口,可以通过两条VPN隧道访问深圳服务器,以及走深圳总部防火墙wan2接口上网。
增加一条宽带
由于上海分公司只配置了一条宽带,现在我们需要再增加一条。
① 上海防火墙wan2接口接入一条网线,另头接入模拟互联网的FortiWiFi 60D 3号接口。
② 编辑wan2接口。
③ 寻址模式选择【手动】,输入宽带IP和子网掩码,这里IP设置和wan1接口IP相似,启用https和ping协议,点击【确认】。
④ 然后是配置宽带的网关,选择菜单【网络】-【静态路由】,点击新建。
⑤ 和第一条宽带默认网关设置不同的地方是,这里要将优先级设置为大于1的数字。这是因为如果两条默认静态路由的管理距离和优先级完全相同,就会产生冲突,结果是部分可以上网,部分不能上网。
⑥ 接口和路由都配置好后,就要创建上网策略了。选择菜单【策略&对象】-【防火墙策略】,点击【新建】。
⑦ 创建internal接口走wan2接口上网策略,默认启用NAT。
⑧ 同样方法创建无线走wan2接口上网策略。接口、路由、策略就全部创建好了。
⑨ 现在切换到模拟互联网的FortiWiFi 60D。
⑩ 选择菜单【网络】-【接口】,选择internal3,点击【编辑】。
⑪ 输入第二条宽带的网关IP,启用https、ping协议。点击【确认】。
⑫ 选择菜单【策略&对象】-【IPv4策略】,点击【新建】。
⑬ 创建一条internal3接口允许访问wan1接口的策略,NAT不启用。这样第二条宽带也就能远程访问深圳防火墙wan1接口了。所有关于第二宽带的配置全部完成了。
验证新增加的宽带
在继续实验前,我们还需要验证新增的宽带是否能远程访问深圳防火墙。
① 登录上海防火墙,由于我们前面创建的IPsec隧道原因,所有流量都走隧道了,因此我们需要先断开IPsec隧道。选择菜单【仪表板】-【网络】,选择隧道后点击【断开】-【Entire Tunnel】。
② 但是隧道在短暂的断开好又自动重新连接了,看过我前面文章的就知道,只要还有数据访问,防火墙会自动发起连接。
③ 这隧道一直断不开要怎么办呢?选择菜单【策略&对象】-【防火墙策略】,找到关于IPsec隧道的策略,点击右键,弹出菜单选择【设置状态】-【禁用】。
④ 同样步骤将所有IPsec隧道策略都禁用。
⑤ IPsec隧道总算是断开了。
⑥ 选择菜单【仪表板】-【网络】,点击【路由】,这次可以看到两条宽带的默认路由,为了区分,子项目栏增加了优先级。相同的情景也在深圳总部防火墙出现过。
⑦ 为了强制走wan2上网,需要用到策略路由。默认策略路由是不启用的。选择菜单【系统管理】-【可见功能】,启用【高级路由】,点击确认。
⑧ 刷新窗口,菜单有了变化,选择【网络】-【策略路由】,点击【新建】。
⑨ 由于只是测试第二条宽带是否能上网,因此只创建一条internal接口强制走wan2口的策略路由。
⑩ 笔记本电脑关闭所有无线,网卡接上海防火墙internal接口,自动获取IP。可以直接ping通深圳防火墙的wan1口IP,查看路由,网关是100.64.20.254,走的是第二条宽带。上网测试成功。
⑪ 为了不影响后面的实验。这里还是将新建的策略路由禁用了。
创建第二条IPsec VPN
前期准备工作完成,就可以开始用第二条宽带创建IPsec VPN了。
① 登录上海分公司防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。
② 输入隧道名称,注意不要重复。模板类型默认【站到站】,NAT配置还是选择【这个站点在NAT后端】。点击【下一步】。
③ 远程IP地址填写深圳总部防火墙wan1接口IP,流出接口这次选择第二条宽带的wan2接口,输入预共享密钥,和深圳防火墙保持一致。点击【下一步】。
④ 和第一条宽带一样,本地接口选择internal和无线两个接口,本地子网也自动加上去了。Internet访问选择【使用远程】,远端子网自动变成0.0.0.0/0。自动出现本地网关。点击【下一步】。
⑤ 向导会创建许多内容,点击【完成】。
⑥ VPN创建完成,点击【显示隧道列表】。
⑦ 由于没有访问需求,这次向导创建好隧道后,状态为【不活跃】。
⑧ 选择菜单【仪表板】-【网络】,点击【IPsec】,选择新建隧道,点击【启用】-【阶段2选择器:SH2-SZ】。新建隧道的阶段1已经是连通状态了。
⑨ 第二条隧道连通成功。
⑩ 笔记本电脑网卡可以通过新建隧道访问深圳防火墙后的域服务器,也可以通过深圳防火墙wan2接口上网了。