【简介】前面我们实验的是FortiClient客户端与防火墙进行VPN连接,现在我们要做的实验是防火墙与防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。
OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。
OldMei集团上海分公司需要实时访问深圳总部的域服务器和ERP服务器,要求访问便捷,并且安全性要高。
解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,创建VPN隧道后,两地互相访问如同在同一个局域网内,十分便捷。另外由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。
实验目标:笔记本电脑通过网卡上网,可以从上海分公司访问深圳总部的域服务器远程桌面。
我们可以用向导,快速的建立点对点的连接。
① 远程登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。
② 自动启动VPN创建向导,输入隧道名称,建议用双方地名简称。默认模板类型为【站到站】,NAT配置为【站点之间没有NAT】。这个是什么意思呢?表示双方宽带都可以直接访问,没有经过NAT设备,假设上海分公司的Wan口不是直接接入宽带,而是接入一个路由器,那么这里就必须选择【远端站点在NAT后端】。点击【下一步】。
③ 远程设备默认为【IP地址】,填入正确的远程IP地址。也就是上海分公司防火墙wan1接口IP,要求这个IP可以远程访问,如果不能远程访问会怎么样?我们后面会看到实验结果。流出接口选择正确的宽带接口,对方配置时也要输入这边的公网IP的。自定义共享密钥,两端设置必须相同。
④ 本实验的目标,是上海分公司防火墙internal接口下的电脑能够远程访问深圳总部防火墙DMZ接口下的服务器。因此接口和双方子网要设置正确。
⑤ 不知道大家还记不记得FortiClient连接向导时创建的内容,包括接口、策略和地址对象。站对站的向导创建的内容更多一些,有接口、地址对象及二条策略和两条路由。
⑥ 只需简单的几步,我们就创建了站对站的IPsec VPN。下面我们看看向导有创建哪些内容。点击【显示隧道列表】。
⑦ 在【IPsec隧道】菜单,我们看到新建了一条站到站隧道。选择新建的隧道,点击【编辑】。
⑧ 隧道内容看上去不是很多,后期我们还要学习如何修改隧道内容。
⑨ 选择菜单【策略&对象】-【防火墙策略】,可以看到向导自动创建的两条一进一出的策略。
⑩ 选择菜单【网络】-【静态路由】,可以看到向导自动创建的两条静态路由。
⑪ 向导也自动创建了地址对象。
⑫ 向导也自动创建了地址组。为什么我们要了解向导创建了什么,因为这对我们删除向导创建的VPN隧道会有帮助。
可以和深圳总部防火墙一样,用向导创建上海分公司防火墙站对站的IPsec VPN连接。
① 远程登录上海分公司防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。
② 输入名称,其它保持默认,点击【下一步】。
③ 远程IP地址输入深圳总部防火墙wan1接口的IP。流出接口选择宽带接口,预共享密钥和深圳总部防火墙一致。点击【下一步】。
④ 实验目标是从上海分公司防火墙的internal接口下的电脑去访问深圳总部DMZ接口下的服务器,因此本地接口选择【internal】,填写本地子网与无端子网,注意:这两项内容的填写,必须与对方完全相同,只是互为相反。
⑤ 配置好后,点击【完成】。
⑥ 根据前面的配置,向导创建了VPN,具体创建了哪些内容,前面已经介绍过了,就不再介绍了。点击【显示隧道列表】。
⑦ IPsec隧道创建成功,只是状态为【不活跃】,说明VPN还没有连接。
虽然两端防火墙都已经用向导配置好了IPsec VPN,但是并不会自动连接,需要手动操作。
① 在上海分公司防火墙选择菜单【仪表板】-【网络】,选择【IPsec】窗口。
② 可以看到SH-SZ隧道,阶段1是绿色向上箭头,表示是连通的,阶段2是红色向下箭头,表示不通。点击【启用】-【阶段2选择器:SH-SZ】,启用阶段2连接。
③ 现在阶段1和阶段2都已经是绿色向上箭头头了。说明都连接成功。
④ 笔记本电脑网卡现在是接入上海分公司防火墙internal接口,自动获取172.16.30.0网段IP。
⑤ 可以Ping通远在深圳总部的域服务器IP,查看路由,也能看到是经过上海分公司防火墙和深圳总部防火墙才访问成功的。
⑥ 除了能ping通之外,再看看允许访问的协议,打开远程桌面,输入服务器内网IP。点击【连接】。
⑦ 远程桌面登录成功。说明上海和深圳,已经通过IPsec VPN连接起来了。
我一直在强调,只有可以远程的公网IP,才能成功的创建IPsec VPN,下面我再来看看,不能远程的公网IP,会有什么结果。
① 先看一个正面的例子,前面实验环境已经设置了深圳总部防火墙wan1接口IP是可以远程访问的。现在我们在上海分公司防火墙上进行操作,在IPsec窗口里,选择已经连接成功的隧道,点击【断开】-【Entire Tunnel】。
② 隧道虽然断开,但阶段1仍然是连通的,再次选择【启用】-【阶段2选择器:SH-SZ】。
③ 隧道再次成功连接。说明由上海分公司发起的隧道连接请求,都可以成功。因为对方宽带IP可以远程访问。【小技巧】如果隧道一直有数据在访问,例如长ping,即使断开连接,也会很快自动重新连通。
④ 回到深圳总部防火墙,用同样的方法断开隧道连接。
⑤ 你会发现阶段1是断开的,再尝试启用隧道。
⑥ 结果是:回不去了。。。。。。
⑦ 从深圳防火墙ping上海防火墙wan1接口IP,无法ping通。也就是说,上海防火墙的公网IP是无法远程的,深圳防火墙发起的连接无法连接上海防火墙。
⑧ 有办法改变实验环境,允许上海防火墙wan1接口IP可以远程吗?当然有,无线登录作为互联网存在的FortiWiFi 60D防火墙。
⑨ 早期的实验,我们只允许单向访问深圳总部。现在需要再建立一条反向访问策略。
⑩ 策略很简单,流入接口和流出接口相反就可以了。不要启用NAT。
⑪ 再次回到深圳防火墙,点击右上角命令图标。
⑫ 这次可以从深圳防火墙上ping通对方宽带IP了。
⑬ 回到IPsec小窗口,这次隧道的阶段1也是连通的了。点击【启用】-【阶段2选择器:SZ-SH】。
⑭ 隧道成功启动了。也就是说,两边宽带IP都可以远程访问的情况下,两边都可以发起连接,并且连接成功。
很多情况下,一边是拨号宽带,一边是固定宽带,而拨号宽带得到的IP又无法远程,那我可不可以给接受方一个假IP,只要我能发起连接就可以。
① 为了验证这个钻牛角尖题,我们修改接受方的公网IP地址试试。在深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,选择SZ-SH隧道,点击【编辑】。
② 点击【转换为自定义隧道】。
③ 点击网络右上角的【编辑】。
④ 将对端IP地址修改为一个错误的地址。
⑤ 从深圳防火墙上无法启动隧道,阶段1是段开的。这个是肯定的,因为对端IP地址是错误的,自然无法启动。
⑥ 那么我们从上海防火墙发起连接,可以启动隧道吗?同样是不可以。阶段1也是断开的。结果已经知道了,那有人知道原因吗?欢迎讨论!
