【简介】要想所有的流量都走安全隧道,就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙,再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。
实验要求与环境
OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。
新冠疫情前,大家在公司办公,可以很方便的访问指定网站。新冠疫情后,全员居家办公,要求除了能安全的远程访问公司内部服务器外,也要能通过公司MPLS专线,访问指定网站。
删除向导创建的IPsec VPN
前面我们用向导非常快速的就建好了访问内网的IPsec VPN。现有我们要创建访问宽带的IPsec VPN,那么最快速的办法,就是删除前面已建好的IPsec VPN,用向导重新创建一个。
① 远程登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,可以看到前面试验创建的IPsec隧道,【删除】按钮是灰色的,这是因为有关联,要删除IPsec隧道,必须先删除关联。点击最右边的关联项数字。
② 这里有两个关联项,一个是策略,一个是阶段2,选择策略,点击【删除】。
③ 关联的策略被删除,注意,并不是删除它们之间的联系,而是把策略真正的删除。同样也选择阶段2,点击【删除】。
④ 只有将IPsec隧道的关联项数字变为0,才可以删除这条IPsec隧道。
⑤ 对于自动创建的地址组和地址对象,我们也要进行删除,一是避免太多的地址对象引起误解。二是如果再次创建相同名称的IPsec隧道,自动创建地址同名对象会引起冲突。
⑥ 删除地址对象后,我们就把向导创建的内容删除干净了。下面可以再次使用向导创建IPsec隧道了。
IPsec VPN向导
下面我们开始用向导创建访问远程防火墙宽带的IPsec VPN。
① 选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】,会自动启动IPsec向导。
② 输入自定义名称,模板类型选择【远程拨号】,默认选择FortiClient客户端。点击【下一步】。
③ 流入接口选择宽带接口,该接口需要有可以远程访问的公网IP。共享密钥可以自己编写,只要防火墙和FortiClient客户端两边都一样就行。用户组是用来验证登录用户的。前面已经讲解过了创建用户组和用户。点击【下一步】。
④ 由于我们是要将上网流量通过IPsec隧道到达总部防火墙,再从总部防火墙的宽带出去,所以本地接口选择了wan2,也就是深圳总部的另一条MPLS专线。地址地址选择【all】,自定义客户端地址范围,这里参考SSL VPN的默认地址对象内容,稍作修改。由于不同宽带DNS也不同,这里可以手动指定新的DNS。注意,要禁用隧道分离,这样所有流量才会走隧道。点击【下一步】。
⑤ 客户端选项启用自动连接和保持存活,后面我们看看会有什么不同。选择【下一步】。
⑥ 创建VPN之前,会提示将会创建接口、地址对象和策略。点击【完成】。
⑦ VPN按顺序创建成功,红色向下箭头是表示创建成功,还没有启动。不用在意。点击【显示隧道列表】。
⑧ 显示IPsec隧道创建成功,只是还没有FortiClient客户端拨入,因此状态是【不活跃】。
⑨ 向导自动创建了一条IPsec隧道虚拟接口走wan2上网的策略。如果要能过IPsec隧道访问DMZ接口的服务器,需要再手动创建一条策略。
⑩ 向导自动创建地址对象。这一次没有用到地址组。
FortiClient客户端配置
虽然我们上一篇文章已经讲解了FortiClient客户端配置,但是为了文章阅读连惯性,这里再讲解一次。前提:笔记本电脑已经安装好FortiClient客户端。
① 管理员的笔记本电脑启动FortiClient客户端,点击VPN连接最右边图标,弹出菜单选择【建立新连接】。FortiClinet客户端可以创建多个连接。
② VPN选择【IPsec VPN】,输入自定义的连接名,远程网关填写深圳总部防火墙wan1接口的公网IP。这里SSL VPN不同的是,不用输入端口。但是需要填写共享密钥。这个共享密钥也就是防火墙配置时创建的。点击【保存】。
③ 回到上一层窗口,VPN连接已经变成新建的连接,输入用户名和密码,点击【连接】。
④ 和SSL VPN不同的时,IPsec VPN没有提示证书信息,直接连接成功。
验证效果
这一次我们来看看与上一篇试验有什么不同。
① 在命令提示符下输入ipconfig/all,看到IPsec VPN拨号后生成了一块虚拟网卡,并获得IP地址、网关和DNS。其中DNS是我们指定的。
② 用route print命令查看笔记本电脑的路由表,可以看到所有访问0.0.0.0都走隧道出去。这就是禁用了隧道分离的结果。
③ 从笔记本电脑Ping远端防火墙Wan2接口,以及Wan2接口的下一跳,都可以通,但是Ping公网IP却不通,知道问题出在哪了吗?
④ 复习一下我们前面学习的内容,两条宽带的默认路由,Wan1的优先级是1,Wan2的优先级是5,所以所有的访问会走Wan1的网关。那有人要问了,为什么ping 172.16.188.188和172.16.188.1又能通?这是因为路由表里,有这个地址段的直连路由。
⑤ 解决办法很简单,创建一条强制IPsec流量走wan2接口的策略路由。由于已经拨号成功,可以用wan2接口IP登录远端防火墙。选择菜单【网络】-【策略路由】,点击【新建】。
⑥ 流入接口选择IPsec隧道虚拟接口,源地址选择向导自动创建的地址对象,目标地址选择ALL,流出接口,选择Wan2,输入Wan2的网关。最后点击确认。由于策略路由优先于静态路由,所以这条策略路由将强制IPsec隧道的所有流量走Wan2出去。
⑦ 策略路由的顺序是从上向下匹配,由于前二条策略路由的源地址与新建策略路由的源地址不同(一个IP网段是10.212.134.200-210,另一个是10.212.135.200-210),所以即使新建策略路由在最下面也不影响。
⑧ 再次Ping公网IP,显示可以上网了。
文章来源:https://www.toymoban.com/news/detail-485029.html
⑨ 退出FortiClient客户端,再次打开FortiClient客户端,就会看到界面出现了三个选项,这个就是向导里启用的客户端选项功能。文章来源地址https://www.toymoban.com/news/detail-485029.html
到了这里,关于实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
