strongSwan对接飞塔防火墙

最新推荐文章于 2025-04-03 19:30:00 发布

Danileaf_Guo

最新推荐文章于 2025-04-03 19:30:00 发布

阅读量780

点赞数 15

文章标签：服务器数据库运维

本文链接：https://blog.youkuaiyun.com/gtj0617/article/details/146324930

版权

我们前面介绍了飞塔防火墙IPsec VPN的自定义配置（FortiGate手工配置自定义IPsec VPN），主要就是为了配置飞塔防火墙和其他设备对接使用的。前段时间有粉丝咨询我如何配置飞塔防火墙和Ubuntu系统使用strongSwan进行对接，我今天就把配置案例分享一下。

首先，我们在FGT44的【VPN创建向导】页面，模板类型选择【自定义】，点击【下一步】。

在隧道配置的详情页面，我们需要完成网络、认证、阶段1提案和阶段2选择器的配置。

首先是【网络】部分，我们需要配置IKE对等体信息。本例中，我们配置对端网关使用IPv4静态IP地址10.23.1.4，出接口使用port2；两台网关之间没有NAT设备，可以选择禁用NAT穿越；其他配置保持默认即可。

【认证】部分，认证方法我们选择【预共享密钥】，并配置为“40gate2ubuntu”;IKE部分使用默认配置，版本我们还是先使用v1版本，模式使用主模式（ID保护）。

【阶段1提案】部分，我们配置加密算法使用【AES128】、认证算法使用【SHA256】，DH组是必填项，我们选择DH5，其它选项保持默认配置即可。

【阶段2选择器】部分，配置要保护的本端地址子网和对端地址子网；【阶段2提案】中，我们配置加密算法使用【AES128】、认证算法使用【SHA256】，取消【启用完全前向保密】，其它选项保持默认配置即可。

接下来，我们配置一下静态路由。输入对端的子网网段，接口选择新建的IPsec隧道接口。

最后，我们再配置一下防火墙策略。防火墙策略分为本端到对端和对端到本端两个方向，我们先配置本端到对端的策略。配置流入接口为内网接口，配置流出接口为IPsec隧道接口；指定源地址和目标地址，需要使用地址对象；服务选择【ALL】，取消【启用NAT】，其它选项保持默认。点击【确认】提交策略。

然后再配置一条完全相反的对端到本端的策略：配置流入接口为IPsec隧道接口，配置流出接口为内网接口；使用地址对象指定源地址和目标地址；服务选择【ALL】，取消【启用NAT】，其它选项保持默认。点击【确认】提交策略。

到这里，飞塔防火墙一端就配置完成了。

接下来，我们配置Ubuntu的strongSwan。配置也很简单，只需要梳理好对接参数，修改配置文件/etc/ipsec.conf就可以了。在一阶段配置中，我们使用了IKEv1的主模式，认证方式为PSK预共享密钥；加密算法使用AES128、认证算法使用SHA256，DH组我们选择DH-group5，对应到strongSwan中需要修改为modp1536；两端的ID为接口的IP地址，子网为两端的内网；二阶段的加密算法使用AES128、认证算法使用SHA256。再结合其他配置，整理IPsec连接的配置如下：

conn ub-40gate  authby=psk  keyexchange=ikev1  left=10.23.1.4  leftsubnet=10.1.4.0/24  right=10.12.1.1  rightsubnet=10.1.1.0/24  keyingtries=%forever  auto=start  ike=aes128-sha256-modp1536  esp=aes128-sha256

接下来，我们修改密钥文件/etc/ipsec.secrets，配置要使用的PSK预共享密钥。