实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

这篇具有很好参考价值的文章主要介绍了实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】要想所有的流量都走安全隧道,就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙,再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。


  实验要求与环境

  OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  新冠疫情前,大家在公司办公,可以很方便的访问指定网站。新冠疫情后,全员居家办公,要求除了能安全的远程访问公司内部服务器外,也要能通过公司MPLS专线,访问指定网站。

  删除向导创建的IPsec VPN

  前面我们用向导非常快速的就建好了访问内网的IPsec VPN。现有我们要创建访问宽带的IPsec VPN,那么最快速的办法,就是删除前面已建好的IPsec VPN,用向导重新创建一个。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ① 远程登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,可以看到前面试验创建的IPsec隧道,【删除】按钮是灰色的,这是因为有关联,要删除IPsec隧道,必须先删除关联。点击最右边的关联项数字。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ② 这里有两个关联项,一个是策略,一个是阶段2,选择策略,点击【删除】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ③ 关联的策略被删除,注意,并不是删除它们之间的联系,而是把策略真正的删除。同样也选择阶段2,点击【删除】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ④ 只有将IPsec隧道的关联项数字变为0,才可以删除这条IPsec隧道。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑤ 对于自动创建的地址组和地址对象,我们也要进行删除,一是避免太多的地址对象引起误解。二是如果再次创建相同名称的IPsec隧道,自动创建地址同名对象会引起冲突。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑥ 删除地址对象后,我们就把向导创建的内容删除干净了。下面可以再次使用向导创建IPsec隧道了。

  IPsec VPN向导

  下面我们开始用向导创建访问远程防火墙宽带的IPsec VPN。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ① 选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】,会自动启动IPsec向导。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ② 输入自定义名称,模板类型选择【远程拨号】,默认选择FortiClient客户端。点击【下一步】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ③ 流入接口选择宽带接口,该接口需要有可以远程访问的公网IP。共享密钥可以自己编写,只要防火墙和FortiClient客户端两边都一样就行。用户组是用来验证登录用户的。前面已经讲解过了创建用户组和用户。点击【下一步】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ④ 由于我们是要将上网流量通过IPsec隧道到达总部防火墙,再从总部防火墙的宽带出去,所以本地接口选择了wan2,也就是深圳总部的另一条MPLS专线。地址地址选择【all】,自定义客户端地址范围,这里参考SSL VPN的默认地址对象内容,稍作修改。由于不同宽带DNS也不同,这里可以手动指定新的DNS。注意,要禁用隧道分离,这样所有流量才会走隧道。点击【下一步】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑤ 客户端选项启用自动连接和保持存活,后面我们看看会有什么不同。选择【下一步】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑥ 创建VPN之前,会提示将会创建接口、地址对象和策略。点击【完成】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑦ VPN按顺序创建成功,红色向下箭头是表示创建成功,还没有启动。不用在意。点击【显示隧道列表】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑧ 显示IPsec隧道创建成功,只是还没有FortiClient客户端拨入,因此状态是【不活跃】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑨ 向导自动创建了一条IPsec隧道虚拟接口走wan2上网的策略。如果要能过IPsec隧道访问DMZ接口的服务器,需要再手动创建一条策略。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑩ 向导自动创建地址对象。这一次没有用到地址组。

  FortiClient客户端配置

  虽然我们上一篇文章已经讲解了FortiClient客户端配置,但是为了文章阅读连惯性,这里再讲解一次。前提:笔记本电脑已经安装好FortiClient客户端。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ① 管理员的笔记本电脑启动FortiClient客户端,点击VPN连接最右边图标,弹出菜单选择【建立新连接】。FortiClinet客户端可以创建多个连接。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

   ② VPN选择【IPsec VPN】,输入自定义的连接名,远程网关填写深圳总部防火墙wan1接口的公网IP。这里SSL VPN不同的是,不用输入端口。但是需要填写共享密钥。这个共享密钥也就是防火墙配置时创建的。点击【保存】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ③ 回到上一层窗口,VPN连接已经变成新建的连接,输入用户名和密码,点击【连接】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ④ 和SSL VPN不同的时,IPsec VPN没有提示证书信息,直接连接成功。 

  验证效果

  这一次我们来看看与上一篇试验有什么不同。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ① 在命令提示符下输入ipconfig/all,看到IPsec VPN拨号后生成了一块虚拟网卡,并获得IP地址、网关和DNS。其中DNS是我们指定的。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ② 用route print命令查看笔记本电脑的路由表,可以看到所有访问0.0.0.0都走隧道出去。这就是禁用了隧道分离的结果。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ③ 从笔记本电脑Ping远端防火墙Wan2接口,以及Wan2接口的下一跳,都可以通,但是Ping公网IP却不通,知道问题出在哪了吗?

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ④ 复习一下我们前面学习的内容,两条宽带的默认路由,Wan1的优先级是1,Wan2的优先级是5,所以所有的访问会走Wan1的网关。那有人要问了,为什么ping 172.16.188.188和172.16.188.1又能通?这是因为路由表里,有这个地址段的直连路由。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑤ 解决办法很简单,创建一条强制IPsec流量走wan2接口的策略路由。由于已经拨号成功,可以用wan2接口IP登录远端防火墙。选择菜单【网络】-【策略路由】,点击【新建】。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑥ 流入接口选择IPsec隧道虚拟接口,源地址选择向导自动创建的地址对象,目标地址选择ALL,流出接口,选择Wan2,输入Wan2的网关。最后点击确认。由于策略路由优先于静态路由,所以这条策略路由将强制IPsec隧道的所有流量走Wan2出去。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑦ 策略路由的顺序是从上向下匹配,由于前二条策略路由的源地址与新建策略路由的源地址不同(一个IP网段是10.212.134.200-210,另一个是10.212.135.200-210),所以即使新建策略路由在最下面也不影响。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑧ 再次Ping公网IP,显示可以上网了。

实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

  ⑨ 退出FortiClient客户端,再次打开FortiClient客户端,就会看到界面出现了三个选项,这个就是向导里启用的客户端选项功能。文章来源地址https://www.toymoban.com/news/detail-485029.html


到了这里,关于实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问

    【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?    实验要求与环境

    2024年02月04日
    浏览(46)
  • 实验篇(7.2) 06. 通过安全隧道访问远端内网服务器 (FortiClient-SSL) ❀ 远程访问

    【简介】直接映射服务器到公网,没有验证不安全;通过Web浏览器访问远程内网服务器,有验证也安全,但是支持的协议太少。那有没有即安全,又能支持所有协议的访问方法呢?我们来看看SSL VPN的隧道模式。    实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务

    2024年02月06日
    浏览(46)
  • 实验篇(7.2) 18. 星型安全隧道 - 分支互访(IPsec) ❀ 远程访问

    【简介】Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行

    2024年02月12日
    浏览(38)
  • 实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

    【简介】IPsec VPN虽然价廉物美,但是由运营商原因,偶尔出现不稳定情况,例如访问慢甚至断开等,好在现在大多数企业都有二条甚至更多条宽带,我们可以创建多条IPsec VPN,来保证不间断访问。   实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上

    2024年02月09日
    浏览(36)
  • 实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

    【简介】虽然隧道冗余可以解决连接问题,但是当大量数据访问或要求访问不能中断时,隧道冗余就力不从心了。这种情况就要用到隧道聚合。但是对宽带的要求也高了,双端都至少需要二条宽带。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集

    2024年02月10日
    浏览(38)
  • 实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

    【简介】虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月09日
    浏览(57)
  • 实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问

    【简介】前面我们实验的是FortiClient客户端与防火墙进行VPN连接,现在我们要做的实验是防火墙与防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月03日
    浏览(47)
  • 实验篇(7.2) 12. 站对站安全隧道 - 仅一方发起连接(FortiGate-IPsec) ❀ 远程访问

    【简介】上一篇实验发现,两端都是可以远程的公网IP的话,两端防火墙都可以发出连接请求,并且都能够连通。这样的好处是安全隧道不用随时在线,只在有需求时才由发起方进行连接。但是现实中很多情况下只有一端公网IP可以远程,那么还能用IPsec安全隧道吗?   实验要

    2024年02月09日
    浏览(33)
  • 通过对宽带路由器进行设置就可以对上网进行限制

    现在很多家庭用户都通过电信的ADSL或其他公司提供的类似类型的宽带上网。由于宽带的费用并低廉,而对于大多数没有大量数据下载的家庭用户来说,一户人或一台电脑独占一条ADSL有点浪费资源的感觉。于是现在很多人都用共享一条宽带上网。 这种共享上网的方法一般如下

    2024年02月06日
    浏览(44)
  • 实验篇(7.2) 05. 通过浏览器访问远端内网服务器 (SSL) ❀ 远程访问

    【简介】直接将内网服务器映射成公网IP,可以方便的从任何地方访问服务器的指定端口,但是这种方式下,服务器是公开且暴露的。那有没有即方便、又比较安全的远程访问服务器的方法呢?我们来看看SSL VPN的Web模式。    SSL VPN介绍 从概念角度来说,SSL VPN即指采用SSL (

    2024年02月15日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包