实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

这篇具有很好参考价值的文章主要介绍了实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】前面实验已经知道,FortiClient客户端拨号到远端防火墙,包括上网流量等所有流量都可以通过隧道到达远端防火墙,并从对方宽带上网。那么两台防火墙之间连接的安全隧道,可以实现这个功能吗?


  实验要求与环境

  OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  OldMei集团上海分公司为ADSL拨号宽带,IP经常会变,又需要访问指定网站,另外由于上海分公司规模比较小,没有专业管理人员,深圳总部要求上海分公司所有上网流量必须经过深圳总部防火墙,由深圳总部管理员进行安全管理和上网分配。

  解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。上海分公司为ADSL拨号宽带,IP经常会变,因此只能由上海分公司防火墙拨号至深圳总部防火墙,单向发起连接。另外,所有流量都通过隧道到达深圳总部防火墙,通过深圳总部防火墙wan2接口上网。

  实验目标:笔记本电脑网卡连接上海分公司internal接口,可以通过VPN隧道走深圳总部防火墙wan2接口上网。

  实验前的准备工作

  上一篇实验中,已经实现了上海分公司宽带到深圳总部宽带的单向访问。只需将两端防火墙向导创建的VPN删除就可以了。删除步骤上篇已经介绍,这里就不再详细说明了。有人会问为什么要删除,直接改个隧道名称不就行了。这是因为相同的接口及相同的远程IP,会在向导创建时引起报错提示,删除重配就不会有这种情况发生了。

  配置深圳总部防火墙

  首先配置深圳总部防火墙。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ① 登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ② 输入名称,模板类型默认【站到站】,NAT配置选择【远端站点在NAT后端】,这是因为上海防火墙宽带IP经常会变。点击【下一步】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ③ 流入接口选择拨入的宽带口,输入自定义的预共享密钥,两端要求一致。点击【下一步】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ④ 实验的要求是从上海防火墙的internal接口接入的电脑能访问深圳防火墙DMZ接口下的服务器,并能够通过深圳防火墙的wan2接口上网。这次我们加大一点难度,要求无线也可以访问服务器和上网。本地接口选择【DMZ】,本地子网这里要注意一下,因为要走这边上网,本地子网就不能限制,手动改成0.0.0.0/0,远端子网加入两个地址段。Internet访问选择【共享本地】,共享的WAN选择【wan2】。点击【下一步】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑤ 这次向导会多创建一条Internet访问策略。点击【完成】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑥ VPN创建完成,点击【显示隧道列表】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑦ 向导创建了IPsec隧道。编辑新创建的隧道,我们看看这次有什么不同。 

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑧ 由于向导创建时本地子网输入了0.0.0.0/0,因此这里的本地址为all。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑨ 这次向导创建了三条策略,多出的一条是走wan2上网用的。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑩ 向导创建的地址对象。这里再次提醒一下,本地子网要手动改为0.0.0.0/0,如果没有改,例如自动的填10.10.10.0/24,那隧道里只能跑到10.10.10.0/24的流量。

  配置上海分公司防火墙

  下面我们来配置上海分公司防火墙。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ① 登录上海分公司防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ② 输入隧道名称,模板类型默认【站到站】,NAT配置这次选择【这个站点在NAT后端】,这是因为上海防火墙宽带IP经常会变动。点击【下一步】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ③ 远程IP地址填写深圳总部防火墙wan1接口IP,流入接口选择拨出的宽带接口,输入自定义的预共享密钥,和深圳防火墙保持一致。点击【下一步】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ④ 由于我们加大了难度,要求有线和无线都能通过隧道访问远端服务器和上网,因为本地接口选择两个接口,本地子网也自动加上去了。Internet访问选择【使用远程】,远端子网自动变成0.0.0.0/0。自动出现本地网关。点击【下一步】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑤ 由于这次上海防火墙配置的是拨出方,因此向导会创建静态路由。并且还多出了对端网关路由,点击【完成】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑥ VPN创建完成,点击【显示隧道列表】。 

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑦ 这次向导一创建好,隧道很快就进入已连接状态。编辑隧道。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑧ 阶段2地址地址和对端地址仍然是用的地址组。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑨ 查看地址对象,可以看到两边的本地子网和远程端子网互为相反,完全相同。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑩ 再查看向导创建的策略,因为关系到有线和无线,因为有创建四条策略,分别是两个接口的来回。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑪ 这次向导创建了三条静态路由。如果对路由比较熟悉,你就会发现,里面其实有两条目标为0.0.0.0/0的路由,那么我上网流量到底是走本地的wan1,还是走SH-SZ隧道呢?

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑫ 不要猜,要用事实说话。选择菜单【仪表板】-【网络】,点击【路由】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑬ 在路由表里,我们只看到一条走隧道的默认路由,那wan1的那条默认路由不见了,这是为什么?再看看管理距离你就会明白了,路由表中只有管理距离最小的路由才是活动路由。

  验证效果

  即然两端防火墙IPsec VPN都已经连通了,那我们看看访问是不是正常。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ① 登录上海分公司防火墙,选择菜单【仪表板】-【网络】,打开【Ipsec】窗口,可以看到隧道的当前状态,如果没有启动,点击【启用】菜单。如果启动了,点击最右边的阶段2,可以看到有哪些IP可以访问。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ② 笔记本电脑关闭无线,有线接上海防火墙internal接口,自动获到了172.16.30.0网段IP。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ③ 首先Ping域服务器IP,可以Ping通。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ④ 再次Ping深圳总部防火墙wan2接口IP和wan2接口下一跳IP,都是通的,最后Ping公网IP,这次却不通。这是为什么呢?看过我前面文章的朋友就知道,那是因为深圳防火墙wan2宽带的默认路由优先级并不是最优先,需要用策略路由指定才能出去。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑤ 回到深圳防火墙,选择菜单【网络】-【策略路由】,点击【新建】。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑥ 先创建一条隧道访问DMZ接口服务器的策略路由。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑦ 再创建一条隧道走wan2上网的策略路由。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑧ 注意策略路由的顺序很重要,从上往下匹配的。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑨ 再次Ping服务器和公网IP,都可以Ping通,说明电脑已经可以通过安全隧道走远程防火墙宽带接口上网了。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑩ 再测试一下无线的效果怎样,禁用网卡,启用无线连接上海分公司防火墙。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑪ 无线网卡获取了192.168.30.0网段IP。

实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

  ⑫ 无线也可以通过隧道访问服务器和上网了。文章来源地址https://www.toymoban.com/news/detail-493581.html


到了这里,关于实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 实验篇(7.2) 12. 站对站安全隧道 - 仅一方发起连接(FortiGate-IPsec) ❀ 远程访问

    【简介】上一篇实验发现,两端都是可以远程的公网IP的话,两端防火墙都可以发出连接请求,并且都能够连通。这样的好处是安全隧道不用随时在线,只在有需求时才由发起方进行连接。但是现实中很多情况下只有一端公网IP可以远程,那么还能用IPsec安全隧道吗?   实验要

    2024年02月09日
    浏览(31)
  • 实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问

    【简介】前面我们实验的是FortiClient客户端与防火墙进行VPN连接,现在我们要做的实验是防火墙与防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月03日
    浏览(44)
  • 实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

    【简介】虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月09日
    浏览(54)
  • 【隧道篇 / SSL】(7.4) ❀ 02. 通过SSL VPN Web模式走对方宽带上网 ❀ FortiGate 防火墙

    【简介】SSL VPN Web模式下,只通过浏览器就可以访问远程内网,省去了安装客户端的烦恼,缺点的是支持的协议不多。FortiOS 7.4版本还支持走对方宽带上网。让我们来验证一下这个功能。   配置宽带 在配置SSL VPN之前,我们需要做一些准备工作。 ① 防火墙固件版本为7.4.2。 ②

    2024年01月24日
    浏览(40)
  • 实验篇(7.2) 18. 星型安全隧道 - 分支互访(IPsec) ❀ 远程访问

    【简介】Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行

    2024年02月12日
    浏览(34)
  • 实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问

    【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?    实验要求与环境

    2024年02月04日
    浏览(44)
  • 实验篇(7.2) 08. 通过安全隧道访问内网服务器 (FortiClient-IPsec) ❀ 远程访问

    【简介】通过对SSL VPN与IPsec VPN的对比,我们知道SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN,IPsec VPN对所有的IP应用均透明。我们看看怎么用FortiClient实现IPsec VPN远程访问。    实验要求与环境 OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。

    2024年02月16日
    浏览(35)
  • 实验篇(7.2) 06. 通过安全隧道访问远端内网服务器 (FortiClient-SSL) ❀ 远程访问

    【简介】直接映射服务器到公网,没有验证不安全;通过Web浏览器访问远程内网服务器,有验证也安全,但是支持的协议太少。那有没有即安全,又能支持所有协议的访问方法呢?我们来看看SSL VPN的隧道模式。    实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务

    2024年02月06日
    浏览(44)
  • 网络安全内网渗透之DNS隧道实验--dnscat2直连模式

    目录 一、DNS隧道攻击原理 二、DNS隧道工具 (一)安装dnscat2服务端 (二)启动服务器端 (三)在目标机器上安装客户端 (四)反弹shell         在进行DNS查询时,如果查询的域名不在DNS服务器本机的缓存中,就会访问互联网进行查询,然后返回结果。入股哦在互联网上

    2024年02月06日
    浏览(49)
  • 联通宽带现已恢复 事故原因:宽带骨干网设备故障影响上网

    3月20日下午消息, 今日据多位微博网友爆料,今天上午,联通主干网络出现大范围瘫痪,上海、天津、河北等地均出现不同程度的联通网络中断现象。 联通在调查之后表示,由于上午11:25中国联通互联网骨干网一台设备发生故障,影响了中国联通部分宽带用户的上网业务。

    2024年02月08日
    浏览(57)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包