实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问

这篇具有很好参考价值的文章主要介绍了实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】前面我们实验的是FortiClient客户端与防火墙进行VPN连接,现在我们要做的实验是防火墙与防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。


  实验要求与环境

  OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  OldMei集团上海分公司需要实时访问深圳总部的域服务器和ERP服务器,要求访问便捷,并且安全性要高。

  解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,创建VPN隧道后,两地互相访问如同在同一个局域网内,十分便捷。另外由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。

  实验目标:笔记本电脑通过网卡上网,可以从上海分公司访问深圳总部的域服务器远程桌面。

  深圳总部防火墙配置

  我们可以用向导,快速的建立点对点的连接。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ① 远程登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ② 自动启动VPN创建向导,输入隧道名称,建议用双方地名简称。默认模板类型为【站到站】,NAT配置为【站点之间没有NAT】。这个是什么意思呢?表示双方宽带都可以直接访问,没有经过NAT设备,假设上海分公司的Wan口不是直接接入宽带,而是接入一个路由器,那么这里就必须选择【远端站点在NAT后端】。点击【下一步】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ③ 远程设备默认为【IP地址】,填入正确的远程IP地址。也就是上海分公司防火墙wan1接口IP,要求这个IP可以远程访问,如果不能远程访问会怎么样?我们后面会看到实验结果。流出接口选择正确的宽带接口,对方配置时也要输入这边的公网IP的。自定义共享密钥,两端设置必须相同。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ④ 本实验的目标,是上海分公司防火墙internal接口下的电脑能够远程访问深圳总部防火墙DMZ接口下的服务器。因此接口和双方子网要设置正确。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑤ 不知道大家还记不记得FortiClient连接向导时创建的内容,包括接口、策略和地址对象。站对站的向导创建的内容更多一些,有接口、地址对象及二条策略和两条路由。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑥ 只需简单的几步,我们就创建了站对站的IPsec VPN。下面我们看看向导有创建哪些内容。点击【显示隧道列表】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑦ 在【IPsec隧道】菜单,我们看到新建了一条站到站隧道。选择新建的隧道,点击【编辑】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑧ 隧道内容看上去不是很多,后期我们还要学习如何修改隧道内容。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑨ 选择菜单【策略&对象】-【防火墙策略】,可以看到向导自动创建的两条一进一出的策略。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑩ 选择菜单【网络】-【静态路由】,可以看到向导自动创建的两条静态路由。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑪ 向导也自动创建了地址对象。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑫ 向导也自动创建了地址组。为什么我们要了解向导创建了什么,因为这对我们删除向导创建的VPN隧道会有帮助。

  上海分公司防火墙配置

  可以和深圳总部防火墙一样,用向导创建上海分公司防火墙站对站的IPsec VPN连接。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ① 远程登录上海分公司防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ② 输入名称,其它保持默认,点击【下一步】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ③ 远程IP地址输入深圳总部防火墙wan1接口的IP。流出接口选择宽带接口,预共享密钥和深圳总部防火墙一致。点击【下一步】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ④ 实验目标是从上海分公司防火墙的internal接口下的电脑去访问深圳总部DMZ接口下的服务器,因此本地接口选择【internal】,填写本地子网与无端子网,注意:这两项内容的填写,必须与对方完全相同,只是互为相反。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑤ 配置好后,点击【完成】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑥ 根据前面的配置,向导创建了VPN,具体创建了哪些内容,前面已经介绍过了,就不再介绍了。点击【显示隧道列表】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑦ IPsec隧道创建成功,只是状态为【不活跃】,说明VPN还没有连接。

  验证效果

  虽然两端防火墙都已经用向导配置好了IPsec VPN,但是并不会自动连接,需要手动操作。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ① 在上海分公司防火墙选择菜单【仪表板】-【网络】,选择【IPsec】窗口。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ② 可以看到SH-SZ隧道,阶段1是绿色向上箭头,表示是连通的,阶段2是红色向下箭头,表示不通。点击【启用】-【阶段2选择器:SH-SZ】,启用阶段2连接。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ③ 现在阶段1和阶段2都已经是绿色向上箭头头了。说明都连接成功。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ④ 笔记本电脑网卡现在是接入上海分公司防火墙internal接口,自动获取172.16.30.0网段IP。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑤ 可以Ping通远在深圳总部的域服务器IP,查看路由,也能看到是经过上海分公司防火墙和深圳总部防火墙才访问成功的。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑥ 除了能ping通之外,再看看允许访问的协议,打开远程桌面,输入服务器内网IP。点击【连接】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑦ 远程桌面登录成功。说明上海和深圳,已经通过IPsec VPN连接起来了。

  公网IP对IPsec VPN的影响

  我一直在强调,只有可以远程的公网IP,才能成功的创建IPsec VPN,下面我再来看看,不能远程的公网IP,会有什么结果。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ① 先看一个正面的例子,前面实验环境已经设置了深圳总部防火墙wan1接口IP是可以远程访问的。现在我们在上海分公司防火墙上进行操作,在IPsec窗口里,选择已经连接成功的隧道,点击【断开】-【Entire Tunnel】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ② 隧道虽然断开,但阶段1仍然是连通的,再次选择【启用】-【阶段2选择器:SH-SZ】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ③ 隧道再次成功连接。说明由上海分公司发起的隧道连接请求,都可以成功。因为对方宽带IP可以远程访问。【小技巧】如果隧道一直有数据在访问,例如长ping,即使断开连接,也会很快自动重新连通。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ④ 回到深圳总部防火墙,用同样的方法断开隧道连接。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑤ 你会发现阶段1是断开的,再尝试启用隧道。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑥ 结果是:回不去了。。。。。。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑦ 从深圳防火墙ping上海防火墙wan1接口IP,无法ping通。也就是说,上海防火墙的公网IP是无法远程的,深圳防火墙发起的连接无法连接上海防火墙。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑧ 有办法改变实验环境,允许上海防火墙wan1接口IP可以远程吗?当然有,无线登录作为互联网存在的FortiWiFi 60D防火墙。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑨ 早期的实验,我们只允许单向访问深圳总部。现在需要再建立一条反向访问策略。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑩ 策略很简单,流入接口和流出接口相反就可以了。不要启用NAT。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

   ⑪ 再次回到深圳防火墙,点击右上角命令图标。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑫ 这次可以从深圳防火墙上ping通对方宽带IP了。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑬ 回到IPsec小窗口,这次隧道的阶段1也是连通的了。点击【启用】-【阶段2选择器:SZ-SH】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑭ 隧道成功启动了。也就是说,两边宽带IP都可以远程访问的情况下,两边都可以发起连接,并且连接成功。

  钻牛角尖题

  很多情况下,一边是拨号宽带,一边是固定宽带,而拨号宽带得到的IP又无法远程,那我可不可以给接受方一个假IP,只要我能发起连接就可以。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ① 为了验证这个钻牛角尖题,我们修改接受方的公网IP地址试试。在深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,选择SZ-SH隧道,点击【编辑】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ② 点击【转换为自定义隧道】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ③ 点击网络右上角的【编辑】。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ④ 将对端IP地址修改为一个错误的地址。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑤ 从深圳防火墙上无法启动隧道,阶段1是段开的。这个是肯定的,因为对端IP地址是错误的,自然无法启动。

ipsec点对点加密隧道,# 远程访问实验,FortiOS 7.2,实验,IPsec,安全隧道,点对点

  ⑥ 那么我们从上海防火墙发起连接,可以启动隧道吗?同样是不可以。阶段1也是断开的。结果已经知道了,那有人知道原因吗?欢迎讨论! 文章来源地址https://www.toymoban.com/news/detail-775238.html


到了这里,关于实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

    【简介】虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月09日
    浏览(56)
  • 实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

    【简介】前面实验已经知道,FortiClient客户端拨号到远端防火墙,包括上网流量等所有流量都可以通过隧道到达远端防火墙,并从对方宽带上网。那么两台防火墙之间连接的安全隧道,可以实现这个功能吗?   实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽

    2024年02月09日
    浏览(33)
  • 实验篇(7.2) 18. 星型安全隧道 - 分支互访(IPsec) ❀ 远程访问

    【简介】Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行

    2024年02月12日
    浏览(38)
  • 实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问

    【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?    实验要求与环境

    2024年02月04日
    浏览(45)
  • 实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

    【简介】要想所有的流量都走安全隧道,就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙,再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。    实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽

    2024年02月09日
    浏览(37)
  • 实验篇(7.2) 08. 通过安全隧道访问内网服务器 (FortiClient-IPsec) ❀ 远程访问

    【简介】通过对SSL VPN与IPsec VPN的对比,我们知道SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN,IPsec VPN对所有的IP应用均透明。我们看看怎么用FortiClient实现IPsec VPN远程访问。    实验要求与环境 OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。

    2024年02月16日
    浏览(39)
  • 实验篇(7.2) 06. 通过安全隧道访问远端内网服务器 (FortiClient-SSL) ❀ 远程访问

    【简介】直接映射服务器到公网,没有验证不安全;通过Web浏览器访问远程内网服务器,有验证也安全,但是支持的协议太少。那有没有即安全,又能支持所有协议的访问方法呢?我们来看看SSL VPN的隧道模式。    实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务

    2024年02月06日
    浏览(45)
  • 网络安全内网渗透之DNS隧道实验--dnscat2直连模式

    目录 一、DNS隧道攻击原理 二、DNS隧道工具 (一)安装dnscat2服务端 (二)启动服务器端 (三)在目标机器上安装客户端 (四)反弹shell         在进行DNS查询时,如果查询的域名不在DNS服务器本机的缓存中,就会访问互联网进行查询,然后返回结果。入股哦在互联网上

    2024年02月06日
    浏览(51)
  • 实验篇(7.2) 04. 映射内网服务器到公网IP ❀ 远程访问

    【简介】由于服务器的IP是内网地址,所以无法从公网直接访问服务器。要想远程访问服务器,最简单的办法就是将服务器映射到公网IP,然后通过公网IP加端口号的方式进行访问。    实验要求与环境 OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。为

    2024年02月12日
    浏览(38)
  • 7.2 手撕VGG11模型 & 使用Fashion_mnist数据训练VGG

    VGG首先引入块的思想将模型通用模板化 与AlexNet,LeNet一样,VGG网络可以分为两部分,第一部分主要由卷积层和汇聚层组成,第二部分由全连接层组成。 VGG有5个卷积块,前两个块包含一个卷积层,后三个块包含两个卷积层。 2 * 1 + 3 * 2 = 8个卷积层和后面3个全连接层,所以它被

    2024年02月13日
    浏览(27)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包