【簡(jiǎn)介】前面實(shí)驗(yàn)已經(jīng)知道，F(xiàn)ortiClient客戶端撥號(hào)到遠(yuǎn)端防火墻，包括上網(wǎng)流量等所有流量都可以通過(guò)隧道到達(dá)遠(yuǎn)端防火墻，并從對(duì)方寬帶上網(wǎng)。那么兩臺(tái)防火墻之間連接的安全隧道，可以實(shí)現(xiàn)這個(gè)功能嗎？

? 實(shí)驗(yàn)要求與環(huán)境

　　OldMei集團(tuán)深圳總部防火墻有兩條寬帶，一條普通寬帶用來(lái)上網(wǎng)，另一條MPLS專(zhuān)線用來(lái)訪問(wèn)指定網(wǎng)站。并且網(wǎng)站綁定了專(zhuān)線IP，只有這個(gè)IP才能訪問(wèn)。

　　OldMei集團(tuán)上海分公司為ADSL撥號(hào)寬帶，IP經(jīng)常會(huì)變，又需要訪問(wèn)指定網(wǎng)站，另外由于上海分公司規(guī)模比較小，沒(méi)有專(zhuān)業(yè)管理人員，深圳總部要求上海分公司所有上網(wǎng)流量必須經(jīng)過(guò)深圳總部防火墻，由深圳總部管理員進(jìn)行安全管理和上網(wǎng)分配。

　　解決方案：上海分公司和深圳總部都部署FortiGate防火墻，兩地防火墻通過(guò)寬帶創(chuàng)建VPN連接，由于VPN是加密隧道，可以保證數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)傳輸時(shí)的安全。上海分公司為ADSL撥號(hào)寬帶，IP經(jīng)常會(huì)變，因此只能由上海分公司防火墻撥號(hào)至深圳總部防火墻，單向發(fā)起連接。另外，所有流量都通過(guò)隧道到達(dá)深圳總部防火墻，通過(guò)深圳總部防火墻wan2接口上網(wǎng)。

　　實(shí)驗(yàn)?zāi)繕?biāo)：筆記本電腦網(wǎng)卡連接上海分公司internal接口，可以通過(guò)VPN隧道走深圳總部防火墻wan2接口上網(wǎng)。

??實(shí)驗(yàn)前的準(zhǔn)備工作

　　上一篇實(shí)驗(yàn)中，已經(jīng)實(shí)現(xiàn)了上海分公司寬帶到深圳總部寬帶的單向訪問(wèn)。只需將兩端防火墻向?qū)?chuàng)建的VPN刪除就可以了。刪除步驟上篇已經(jīng)介紹，這里就不再詳細(xì)說(shuō)明了。有人會(huì)問(wèn)為什么要?jiǎng)h除，直接改個(gè)隧道名稱(chēng)不就行了。這是因?yàn)橄嗤慕涌诩跋嗤倪h(yuǎn)程IP，會(huì)在向?qū)?chuàng)建時(shí)引起報(bào)錯(cuò)提示，刪除重配就不會(huì)有這種情況發(fā)生了。

??配置深圳總部防火墻

　　首先配置深圳總部防火墻。

　?、?登錄深圳總部防火墻，選擇菜單【VPN】-【IPsec隧道】，點(diǎn)擊【新建】-【IPsec隧道】。

　　② 輸入名稱(chēng)，模板類(lèi)型默認(rèn)【站到站】，NAT配置選擇【遠(yuǎn)端站點(diǎn)在NAT后端】，這是因?yàn)樯虾７阑饓拵P經(jīng)常會(huì)變。點(diǎn)擊【下一步】。

　?、?流入接口選擇撥入的寬帶口，輸入自定義的預(yù)共享密鑰，兩端要求一致。點(diǎn)擊【下一步】。

　　④ 實(shí)驗(yàn)的要求是從上海防火墻的internal接口接入的電腦能訪問(wèn)深圳防火墻DMZ接口下的服務(wù)器，并能夠通過(guò)深圳防火墻的wan2接口上網(wǎng)。這次我們加大一點(diǎn)難度，要求無(wú)線也可以訪問(wèn)服務(wù)器和上網(wǎng)。本地接口選擇【DMZ】，本地子網(wǎng)這里要注意一下，因?yàn)橐哌@邊上網(wǎng)，本地子網(wǎng)就不能限制，手動(dòng)改成0.0.0.0/0，遠(yuǎn)端子網(wǎng)加入兩個(gè)地址段。Internet訪問(wèn)選擇【共享本地】，共享的WAN選擇【wan2】。點(diǎn)擊【下一步】。

　?、?這次向?qū)?huì)多創(chuàng)建一條Internet訪問(wèn)策略。點(diǎn)擊【完成】。

　?、?VPN創(chuàng)建完成，點(diǎn)擊【顯示隧道列表】。

　　⑦ 向?qū)?chuàng)建了IPsec隧道。編輯新創(chuàng)建的隧道，我們看看這次有什么不同。?

　?、?由于向?qū)?chuàng)建時(shí)本地子網(wǎng)輸入了0.0.0.0/0，因此這里的本地址為all。

　　⑨ 這次向?qū)?chuàng)建了三條策略，多出的一條是走wan2上網(wǎng)用的。

　?、?向?qū)?chuàng)建的地址對(duì)象。這里再次提醒一下，本地子網(wǎng)要手動(dòng)改為0.0.0.0/0，如果沒(méi)有改，例如自動(dòng)的填10.10.10.0/24，那隧道里只能跑到10.10.10.0/24的流量。

??配置上海分公司防火墻

　　下面我們來(lái)配置上海分公司防火墻。

　?、?登錄上海分公司防火墻，選擇菜單【VPN】-【IPsec隧道】，點(diǎn)擊【新建】-【IPsec隧道】。

　?、?輸入隧道名稱(chēng)，模板類(lèi)型默認(rèn)【站到站】，NAT配置這次選擇【這個(gè)站點(diǎn)在NAT后端】，這是因?yàn)樯虾７阑饓拵P經(jīng)常會(huì)變動(dòng)。點(diǎn)擊【下一步】。

　?、?遠(yuǎn)程IP地址填寫(xiě)深圳總部防火墻wan1接口IP，流入接口選擇撥出的寬帶接口，輸入自定義的預(yù)共享密鑰，和深圳防火墻保持一致。點(diǎn)擊【下一步】。

　?、?由于我們加大了難度，要求有線和無(wú)線都能通過(guò)隧道訪問(wèn)遠(yuǎn)端服務(wù)器和上網(wǎng)，因?yàn)楸镜亟涌谶x擇兩個(gè)接口，本地子網(wǎng)也自動(dòng)加上去了。Internet訪問(wèn)選擇【使用遠(yuǎn)程】，遠(yuǎn)端子網(wǎng)自動(dòng)變成0.0.0.0/0。自動(dòng)出現(xiàn)本地網(wǎng)關(guān)。點(diǎn)擊【下一步】。

　?、?由于這次上海防火墻配置的是撥出方，因此向?qū)?huì)創(chuàng)建靜態(tài)路由。并且還多出了對(duì)端網(wǎng)關(guān)路由，點(diǎn)擊【完成】。

　?、?VPN創(chuàng)建完成，點(diǎn)擊【顯示隧道列表】。?

　?、?這次向?qū)б粍?chuàng)建好，隧道很快就進(jìn)入已連接狀態(tài)。編輯隧道。

　?、?階段2地址地址和對(duì)端地址仍然是用的地址組。

　　⑨ 查看地址對(duì)象，可以看到兩邊的本地子網(wǎng)和遠(yuǎn)程端子網(wǎng)互為相反，完全相同。

　?、?再查看向?qū)?chuàng)建的策略，因?yàn)殛P(guān)系到有線和無(wú)線，因?yàn)橛袆?chuàng)建四條策略，分別是兩個(gè)接口的來(lái)回。

　　? 這次向?qū)?chuàng)建了三條靜態(tài)路由。如果對(duì)路由比較熟悉，你就會(huì)發(fā)現(xiàn)，里面其實(shí)有兩條目標(biāo)為0.0.0.0/0的路由，那么我上網(wǎng)流量到底是走本地的wan1，還是走SH-SZ隧道呢？

　　? 不要猜，要用事實(shí)說(shuō)話。選擇菜單【儀表板】-【網(wǎng)絡(luò)】，點(diǎn)擊【路由】。

　　? 在路由表里，我們只看到一條走隧道的默認(rèn)路由，那wan1的那條默認(rèn)路由不見(jiàn)了，這是為什么？再看看管理距離你就會(huì)明白了，路由表中只有管理距離最小的路由才是活動(dòng)路由。

??驗(yàn)證效果

　　即然兩端防火墻IPsec VPN都已經(jīng)連通了，那我們看看訪問(wèn)是不是正常。

　?、?登錄上海分公司防火墻，選擇菜單【儀表板】-【網(wǎng)絡(luò)】，打開(kāi)【Ipsec】窗口，可以看到隧道的當(dāng)前狀態(tài)，如果沒(méi)有啟動(dòng)，點(diǎn)擊【啟用】菜單。如果啟動(dòng)了，點(diǎn)擊最右邊的階段2，可以看到有哪些IP可以訪問(wèn)。

　?、?筆記本電腦關(guān)閉無(wú)線，有線接上海防火墻internal接口，自動(dòng)獲到了172.16.30.0網(wǎng)段IP。

　?、?首先Ping域服務(wù)器IP，可以Ping通。

　　④ 再次Ping深圳總部防火墻wan2接口IP和wan2接口下一跳IP，都是通的，最后Ping公網(wǎng)IP，這次卻不通。這是為什么呢？看過(guò)我前面文章的朋友就知道，那是因?yàn)樯钲诜阑饓an2寬帶的默認(rèn)路由優(yōu)先級(jí)并不是最優(yōu)先，需要用策略路由指定才能出去。

　?、?回到深圳防火墻，選擇菜單【網(wǎng)絡(luò)】-【策略路由】，點(diǎn)擊【新建】。

　　⑥ 先創(chuàng)建一條隧道訪問(wèn)DMZ接口服務(wù)器的策略路由。

　?、?再創(chuàng)建一條隧道走wan2上網(wǎng)的策略路由。

　　⑧ 注意策略路由的順序很重要，從上往下匹配的。

　?、?再次Ping服務(wù)器和公網(wǎng)IP，都可以Ping通，說(shuō)明電腦已經(jīng)可以通過(guò)安全隧道走遠(yuǎn)程防火墻寬帶接口上網(wǎng)了。

　?、?再測(cè)試一下無(wú)線的效果怎樣，禁用網(wǎng)卡，啟用無(wú)線連接上海分公司防火墻。

　　? 無(wú)線網(wǎng)卡獲取了192.168.30.0網(wǎng)段IP。

　　? 無(wú)線也可以通過(guò)隧道訪問(wèn)服務(wù)器和上網(wǎng)了。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-493581.html

到了這里，關(guān)于實(shí)驗(yàn)篇(7.2) 13. 站對(duì)站安全隧道 - 走對(duì)方寬帶上網(wǎng)（FortiGate-IPsec） ? 遠(yuǎn)程訪問(wèn)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！