【隧道篇 / IPsec】(7.6) ❀ 01. 利用向导快速建立IPsec安全隧道 (点对点) ❀ FortiGate 防火墙

　　【简介】相信很多人已经习惯利用导向快速创建VPN了，而且已经有部分尝鲜者已经用上了FortiOS 7.6，但是会发现FortiOS 7.6下的VPN向导改变了很多，一时无法下手，下面我们来看看最常见的点对点是如何配置的。

  环境介绍

　　在配置IPsec VPN之前，我们需要了解环境以及需求，得到必要的数据，才能开始配置。

　　① 老梅子集团深圳研发总部防火墙为FortiGate 601E，宽带为固定IP，服务器位于port7口，IP地址为172.16.2.X网段。

　　② 老梅子集团中山工厂防火墙为FortiGate 60F，宽带为ADSL拨号，得到的非公网IP，电脑位于LAN口，IP地址为172.16.1.X网段。

　　这是一个非常常见的网络环境，无公网IP的分部需要访问有公网IP的总部。

  总部配置

　　首先我们登录深圳总部防火墙，利用向导配置VPN。

　　① 在深圳防火墙选择菜单【VPN】-【VPN向导】，输入自定义的隧道名称，通常以两个地点命名，默认选择站到站模板。点击【开始】按钮。

　　② 从VPN隧道设置这段来看，就与以前的版本有很大的不同。输入自定义的预共享密钥，两边防火墙预共享密钥必须完全相同。注意这里的IKE，默认为版本2，早期默认为版本1，其它都保持默认，点击【下一个】。

　　③ 远程站点是配置对方参数，由于中山分部的防火墙是拨号宽带，并没有公网IP，无法直接访问中山防火墙，所以无程站点设备选择了【在NAT或动态后面】，中山防火墙的LAN口是172.16.1.X网段，因此在可以访问VPN的远程站点子网填写【172.16.1.0/24】。点击【下一个】。

　　④ 本地站点设置，传出接口为宽带接口，这里选择port1，本地接口为服务器所在接口port7，本地子网为172.16.2.0/24，由于只允许中山防火墙的LAN接口访问深圳防火墙的port7接口，因此最下面的【允许远程站点的Internet流量通过此设备】保持默认不启用。点击【下一个】。

　　⑤ 配置全部完成，点击【提交】，深圳防火墙自动生成地址对象、虚拟接口以及策略。

　　⑥ 选择菜单【VPN】-【VPN隧道】，可以看到已经创建好SZ-ZS的隧道，点击隧道，弹出菜单中选择【编辑】。

　　⑦ 可以看到远程网关为【拨号用户】，由中山防火墙拨入。IKE默认为版本2。

　　⑧ 选择子菜单【隧道对象】，可以看到自动创建的地址组、防火墙策略、接口、区域和VPN接口，后期如果要删除VPN，就可以将这些对象一一手动删除。

  分部配置

　　深圳总部防火墙配置完成后，下一步就是配置中山分部防火墙了。

　　① 在中山防火墙选择菜单【VPN】-【VPN向导】，输入自定义的隧道名称，通常以两个地点命名，默认选择站到站模板。点击【开始】按钮。

　　② 在VPN隧道设置，输入与深圳总部防火墙相同的自定义预共享密钥，其它都保持默认，点击【下一个】。

　　③ 远程站点设置，由于深圳总部防火墙有公网IP，因此远程站点设备保持默认选择【可访问和静态】，输入深圳总部宽带的IP地址，可以访问VPN的远程站点子网，输入深圳防火墙服务器port7接口的IP地址网段172.16.2.0/24，点击【下一个】。

 　　④ 本地站点设置，传出接口为宽带接口，这里选择wan1，本地接口选择LAN，本地子网为172.16.1.0/24，点击【下一个】。

　　⑤ 配置全部完成，点击【提交】，中山防火墙比深圳防火墙自动生成多了路由。

 　　⑥ 选择菜单【VPN】-【VPN隧道】，可以看到已经创建好SZ-ZS的隧道，点击隧道，弹出菜单中选择【编辑】。我们看看中山分部与深圳总部的配置有什么不同。

　　⑦ 看到中山与深圳配置不同的是远程网关为【静态IP地址】。

　　⑧ 选择子菜单【隧道对象】，可以看到自动创建的地址组、防火墙策略、接口、区域和VPN接口，还有比深圳防火墙多了静态路由。

  启用和断开IPsec VPN

　　由于深圳总部防火墙是被拨入端，因此只能在中山分部防火墙启动VPN。

　　① 在中山分部防火墙选择菜单【仪表板】-【网络】，点击【IPsec】小部件。

　　② 可以看到刚才创建的中山到深圳的IPsec VPN已经是绿色，阶段1和阶段2都上绿色向上箭头的图标，表示隧道连接成功。

　　③ 有的时候我们需要段开VPN，在IPsec小部件，选择隧道，弹出菜单选择【断开】，可以断开阶段2，也可以全部断开。

　　④ 同样，如果隧道没有启动，点击隧道弹出菜单可以选择【启用】，由于阶段1是自动连接的，所以这里可以选择的是阶段2的启动。

  验证隧道互通

　　由于我们配置的是中山的172.16.1.0/24和深圳的172.16.2.0/24的互访，因此可以在两边防火墙的互ping，如果都能通，说明隧道互访正常。

　　① 在中山分部防火墙界面点击右上角命令窗口图标。

 　　② 在命令窗口输入命令 execute ping-options source 172.16.1.1, 定义源IP地址。

　　③ 为什么要定义源IP地址？这是让防火墙模拟电脑从Lan口发起请求。为什么IP地址是172.16.1.1？因为这是Lan口的IP地址。可以是172.16.1.2或其它的地址吗？不可以，防火墙源IP地址只能定义接口的IP地址。

　　④ 定义源IP地址后，执行命令 execute ping 172.16.2.1，ping深圳总部防火墙服务器port7接口IP地址，可以Ping通，说明从中山访问深圳正常。

　　⑤ 深圳总部的服务器port7接口IP地址是172.16.2.1，下一步我们从深圳port7口去ping中山的LAN口。

　　⑥ 登录深圳总部防火墙。进入命令窗口，执行命令 execute ping-options source 172.16.2.1，定义源IP地址为port7接口IP，执行命令 execute ping 172.16.1.1，从深圳防火墙port7口访问中山防火墙LAN口正常。说明IPsec VPN是通的，可以互相访问。