实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

这篇具有很好参考价值的文章主要介绍了实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】IPsec VPN虽然价廉物美,但是由运营商原因,偶尔出现不稳定情况,例如访问慢甚至断开等,好在现在大多数企业都有二条甚至更多条宽带,我们可以创建多条IPsec VPN,来保证不间断访问。


  实验要求与环境

  OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  OldMei集团上海分公司为ADSL拨号宽带,IP经常会变,又需要访问指定网站,另外由于上海分公司规模比较小,没有专业管理人员,深圳总部要求上海分公司所有上网流量必须经过深圳总部防火墙,由深圳总部管理员进行安全管理和上网分配。另外要求上海分公司增加一条宽带,保证不间断的访问深圳服务器。

  解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。上海分公司为ADSL拨号宽带,IP经常会变,因此只能由上海分公司防火墙拨号至深圳总部防火墙,单向发起连接。另外,所有流量都通过隧道到达深圳总部防火墙,通过深圳总部防火墙wan2接口上网。上海分公司在现有单条宽带的情况下再增加一条宽带,这样可以创建两条IPsec VPN,进行VPN冗余。

  实验目标:笔记本电脑网卡连接上海分公司internal接口,可以通过VPN隧道访问深圳服务器,以及走深圳总部防火墙wan2接口上网,在一条宽带断网的情况下,另一条宽带能实现同样的功能。

  增加一条宽带

  由于上海分公司只配置了一条宽带,现在我们需要再增加一条。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ① 上海防火墙wan2接口接入一条网线,另头接入模拟互联网的FortiWiFi 60D 3号接口。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ② 编辑wan2接口。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ③ 寻址模式选择【手动】,输入宽带IP和子网掩码,这里IP设置和wan1接口IP相似,启用https和ping协议,点击【确认】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ④ 然后是配置宽带的网关,选择菜单【网络】-【静态路由】,点击新建。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑤ 和第一条宽带默认网关设置不同的地方是,这里要将优先级设置为大于1的数字。这是因为如果两条默认静态路由的管理距离和优先级完全相同,就会产生冲突,结果是部分可以上网,部分不能上网。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

   ⑥ 接口和路由都配置好后,就要创建上网策略了。选择菜单【策略&对象】-【防火墙策略】,点击【新建】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑦ 创建internal接口走wan2接口上网策略,默认启用NAT。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑧ 同样方法创建无线走wan2接口上网策略。接口、路由、策略就全部创建好了。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑨ 现在切换到模拟互联网的FortiWiFi 60D。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑩ 选择菜单【网络】-【接口】,选择internal3,点击【编辑】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑪ 输入第二条宽带的网关IP,启用https、ping协议。点击【确认】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑫ 选择菜单【策略&对象】-【IPv4策略】,点击【新建】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑬ 创建一条internal3接口允许访问wan1接口的策略,NAT不启用。这样第二条宽带也就能远程访问深圳防火墙wan1接口了。所有关于第二宽带的配置全部完成了。

  验证新增加的宽带

  在继续实验前,我们还需要验证新增的宽带是否能远程访问深圳防火墙。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ① 登录上海防火墙,由于我们前面创建的IPsec隧道原因,所有流量都走隧道了,因此我们需要先断开IPsec隧道。选择菜单【仪表板】-【网络】,选择隧道后点击【断开】-【Entire Tunnel】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ② 但是隧道在短暂的断开好又自动重新连接了,看过我前面文章的就知道,只要还有数据访问,防火墙会自动发起连接。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ③ 这隧道一直断不开要怎么办呢?选择菜单【策略&对象】-【防火墙策略】,找到关于IPsec隧道的策略,点击右键,弹出菜单选择【设置状态】-【禁用】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ④ 同样步骤将所有IPsec隧道策略都禁用。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑤ IPsec隧道总算是断开了。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑥ 选择菜单【仪表板】-【网络】,点击【路由】,这次可以看到两条宽带的默认路由,为了区分,子项目栏增加了优先级。相同的情景也在深圳总部防火墙出现过。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑦ 为了强制走wan2上网,需要用到策略路由。默认策略路由是不启用的。选择菜单【系统管理】-【可见功能】,启用【高级路由】,点击确认。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑧ 刷新窗口,菜单有了变化,选择【网络】-【策略路由】,点击【新建】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑨ 由于只是测试第二条宽带是否能上网,因此只创建一条internal接口强制走wan2口的策略路由。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑩ 笔记本电脑关闭所有无线,网卡接上海防火墙internal接口,自动获取IP。可以直接ping通深圳防火墙的wan1口IP,查看路由,网关是100.64.20.254,走的是第二条宽带。上网测试成功。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑪ 为了不影响后面的实验。这里还是将新建的策略路由禁用了。

  创建第二条IPsec VPN

  前期准备工作完成,就可以开始用第二条宽带创建IPsec VPN了。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ① 登录上海分公司防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ② 输入隧道名称,注意不要重复。模板类型默认【站到站】,NAT配置还是选择【这个站点在NAT后端】。点击【下一步】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ③ 远程IP地址填写深圳总部防火墙wan1接口IP,流出接口这次选择第二条宽带的wan2接口,输入预共享密钥,和深圳防火墙保持一致。点击【下一步】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ④ 和第一条宽带一样,本地接口选择internal和无线两个接口,本地子网也自动加上去了。Internet访问选择【使用远程】,远端子网自动变成0.0.0.0/0。自动出现本地网关。点击【下一步】。 

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑤ 向导会创建许多内容,点击【完成】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑥ VPN创建完成,点击【显示隧道列表】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑦ 由于没有访问需求,这次向导创建好隧道后,状态为【不活跃】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑧ 选择菜单【仪表板】-【网络】,点击【IPsec】,选择新建隧道,点击【启用】-【阶段2选择器:SH2-SZ】。新建隧道的阶段1已经是连通状态了。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑨ 第二条隧道连通成功。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑩ 笔记本电脑网卡可以通过新建隧道访问深圳防火墙后的域服务器,也可以通过深圳防火墙wan2接口上网了。

 验证效果

  第二条宽带配置的VPN已经成功可用,那么再启用第一条宽带的VPN,会有什么反映呢?

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ① 重新恢复前面禁用的所有策略为启用。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ② 再次选择菜单【仪表板】-【网格】,选择【IPsec】,你会看到第一个VPN启用,第二个VPN反而是断开状态。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ③ 选择第二条VPN,阶段1是启动的,说明可以连接,点击【启用】-【阶段2选择器:SH2-SZ】。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ④ 你会发现始终只有一条隧道在线,这是因为VPN模式的原因,对端是只接收,而且是动态生成返回路由。我们两条VPN拨号生成的返回路由都是完全一样的,所以始终只有一条VPN在线。并且如果第一条VPN有会话没断开的话,又会切回到第一条VPN。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑤ 查看路由表,你会看到虽然有两条默认路由,但由于隧道只通了一个,所以只走一条隧道出去。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑥ 那么当一条宽带断了,会出现什么情况,我们来验证一下,首先长ping一个地址,用来判断隧道的工作状态。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑦ 然后我们禁用wan1接口,将这第宽带断开。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑧ 在丢失16个数据包,又重新连通了。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑨ 第二条隧道自动启用了。

实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

  ⑩ 查看路由表,可以看到只有第二条隧道的默认路由了。隧道冗余成功,当然也有人会觉得第二条隧道启动前间隔时间太久,这个可以优化解决,就不在今天讨论的范围了。 文章来源地址https://www.toymoban.com/news/detail-490223.html


到了这里,关于实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

    【简介】前面实验已经知道,FortiClient客户端拨号到远端防火墙,包括上网流量等所有流量都可以通过隧道到达远端防火墙,并从对方宽带上网。那么两台防火墙之间连接的安全隧道,可以实现这个功能吗?   实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽

    2024年02月09日
    浏览(34)
  • 实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

    【简介】虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月09日
    浏览(57)
  • 实验篇(7.2) 18. 星型安全隧道 - 分支互访(IPsec) ❀ 远程访问

    【简介】Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行

    2024年02月12日
    浏览(38)
  • 实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问

    【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?    实验要求与环境

    2024年02月04日
    浏览(46)
  • 实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

    【简介】要想所有的流量都走安全隧道,就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙,再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。    实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽

    2024年02月09日
    浏览(38)
  • 实验篇(7.2) 08. 通过安全隧道访问内网服务器 (FortiClient-IPsec) ❀ 远程访问

    【简介】通过对SSL VPN与IPsec VPN的对比,我们知道SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN,IPsec VPN对所有的IP应用均透明。我们看看怎么用FortiClient实现IPsec VPN远程访问。    实验要求与环境 OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。

    2024年02月16日
    浏览(39)
  • 实验篇(7.2) 06. 通过安全隧道访问远端内网服务器 (FortiClient-SSL) ❀ 远程访问

    【简介】直接映射服务器到公网,没有验证不安全;通过Web浏览器访问远程内网服务器,有验证也安全,但是支持的协议太少。那有没有即安全,又能支持所有协议的访问方法呢?我们来看看SSL VPN的隧道模式。    实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务

    2024年02月06日
    浏览(46)
  • 网络安全内网渗透之DNS隧道实验--dnscat2直连模式

    目录 一、DNS隧道攻击原理 二、DNS隧道工具 (一)安装dnscat2服务端 (二)启动服务器端 (三)在目标机器上安装客户端 (四)反弹shell         在进行DNS查询时,如果查询的域名不在DNS服务器本机的缓存中,就会访问互联网进行查询,然后返回结果。入股哦在互联网上

    2024年02月06日
    浏览(51)
  • 【网络安全知识体系】外网渗透测试 | 14个小实验

     写在前面:视频地址 成功上岸360!0基础网络安全 入行 到 入yu、漏洞挖掘-外网渗透测试流程 目录 一、导读: 二、汇总: 三、知识导图 四、面试常见问题 五、渗透测试流程 1、简述: 2、寻找测试目标 3、信息收集 3、漏洞挖掘 4、漏洞利用获得webshell 探索技术的尖端——

    2023年04月21日
    浏览(48)
  • 【burpsuite安全练兵场-客户端14】点击劫持-5个实验(全)

       博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书,华为云、

    2024年02月02日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包