我们前面介绍了FortiGate如何配置IPsec VPN的两种类型:站到站(卷土重来!这次终于把FortiGate的IPsec VPN配置成功了!)和Hub-and-Spoke(漂亮!FortiGate配置Hub-Spoke类型的IPsec VPN竟然是Full-Mesh架构)。这两种IPsec VPN常用在设备之间,除了设备之间,我们之前也了解过终端之间如何建立IPsec VPN(还能这么玩?Windows通过netsh命令配置IPsec),也简单介绍过终端和设备之间如何建立IPsec VPN(Windows和H3C VSR对接隧道模式的IPsec隧道)。
今天,我们简单学习一下FortiGate如何配置终端和设备之间的IPsec VPN,即远程拨号VPN。
从配置页面我们可以看到,这里的终端分为两种类型,一种是基于FortiClient的远程拨号,这个客户端我们之前也用过(FortiGate配置SSL VPN)。
使用FortiClient远程拨号的VPN需要使用账号密码,我们先在【用户与认证】下的【设置用户】中新建一个【本地用户】。
登录凭证部分,我们将用户名和密码都设置为fclient。
跟之前配置SSL VPN一样,联系人信息也支持双因子认证,不过需要连接到FortiToken云,我们本次就不启用了。
额外信息部分,我们将用户加入到用户组中,我这里选了一个已有的用户组。最后,点击【提交】就完成了本地用户的创建。
回到远程拨号VPN的配置页面,需要配置流入接口,配置认证方式为【预共享密钥】,并配置为“Forti@2025.”,选择认证用户所在的用户组。
在【策略&路由】页面,选择允许客户端可以访问到的本地接口和本地地址,本地地址需要以对象的形式添加后才能使用;客户端地址范围即向客户端动态分配的虚拟网卡地址,跟基于路由VPN的隧道接口一个道理(配置Juniper虚墙vSRX基于路由的IPsec VPN(WEB方式));还可以调整DNS服务器等配置。
【客户端选项】部分,按需进行调整,一般还是习惯打开【保持存活】。
回顾配置,点击【完成】。
查看配置结果,全部通过,没有异常。
到这里,服务端部分就配置完了。
接下来,我们使用客户端来连接IPsec VPN。首先需要从飞塔官网下载FortiClient客户端,下载链接如下:
https://www.fortinet.com/support/product-downloads
相比上次,这次的客户端还融合了ZTNA等功能。选择对应的操作系统,比如我选择Windows系统。
安装时,客户端的零信任功能必需开启,而我们要使用的【Secure Remote Access】功能一定记得开。
相比之前版本,不能自定义安装位置的问题也优化了。
安装完成之后,打开FortiClient VPN控制台,这次竟然提示客户端要授权了,不知道到期之后什么效果。在左侧菜单栏中,我们切换到【REMOTE ACCESS】,点击右侧的“配置VPN”。
进入到【新建VPN连接】页面,VPN类型选择【IPsec VPN】,将远程网关设置为FortiGate监听接口的IP地址(10.12.1.1),验证方式为【共享秘钥】,填入我们配置的“Forti@2025.”,其它选项和高级选项我们先都不修改,然后点击“保存”。
回到连接页面,使用设置的用户名和密码来连接IPsec VPN隧道,试试能不能建立连接。
可以,无需调整高级配置,客户端即连接成功,获取到了10.153.33.10的IP地址。
查看网卡配置信息,可以看到获取到的IP地址和DNS服务器信息。
查看推送的路由表信息,目的网段、网关和TTL信息全部正确。
查看FortiGate的IPsec隧道状态,接口已经UP了。
点击状态处的【1拨号连接】,可以查看客户端信息。
还行,没有特殊配置的情况下,还是很简单的。
***推荐阅读***
卷土重来!这次终于把FortiGate的IPsec VPN配置成功了!
漂亮!FortiGate配置Hub-Spoke类型的IPsec VPN竟然是Full-Mesh架构
如何配置GENEVE?我们用飞塔防火墙FortiGate来演示一下
配置Juniper虚墙vSRX基于路由的IPsec VPN(WEB方式)
配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)
手把手教你在天翼云部署一台FortiGate云主机
FortiGate配置SSL VPN
开通效率大大提高,通过API开通腾讯云主机也太好用了吧!
Zabbix实战第一步:完成在Ubuntu Server的安装部署
用轻量应用服务器的注意了,0.5GB内存的规格请谨慎使用
Ubuntu磁盘空间不足或配置错误时,如何操作扩容?
