FortiGate手工对接穿越NAT的IPsec VPN

于 2025-03-16 07:47:28 发布
阅读量1k 收藏 19
点赞数 19
文章标签: 网络 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gtj0617/article/details/146330429
版权

我们前面已经介绍了配置飞塔防火墙的IPsec VPN的几种方式,包括站到站类型(卷土重来!这次终于把FortiGate的IPsec VPN配置成功了!)、HUB-and-SPOKE类型(漂亮!FortiGate配置Hub-Spoke类型的IPsec VPN竟然是Full-Mesh架构)、远程拨号类型(FortiGate配置远程拨号VPN)和自定义类型(FortiGate手工配置自定义IPsec VPN)。不过,之前的介绍都是基于WAN接口直接配置的,今天我们来学习一下穿越NAT的IPsec VPN配置。

我们本次还是使用自定义类型,方便后续配置和其他类型IPsec网关的对接。

在本例中,我们先配置位于NAT设备之后的FGT45设备,配置方式与之前的配置差异较小。在【VPN创建向导】页面,模板类型选择【自定义】,点击【下一步】。

在隧道配置的详情页面,我们需要完成网络、认证、阶段1提案和阶段2选择器的配置。

首先是【网络】部分,我们需要配置IKE对等体信息。本例中,我们配置对端网关使用IPv4静态IP地址10.12.1.1,出接口使用port2;本端设备处于NAT设备后端,配置NAT穿越为【启用】;推荐启用对等体状态探测并配置为【空闲】,这样,当IPsec没有流量时就会自动触发DPD;其他配置保持默认即可。    

【认证】部分,认证方法我们选择【预共享密钥】,并配置为“40gateipsec”;IKE部分,版本我们使用v1版本,模式选择【野蛮】,并配置对等体选项的访问类型为【任意对等体ID】。    

【阶段1提案】部分,我们配置加密算法使用【AES128】、认证算法使用【SHA256】,DH组是必填项,我们选择DH5,其它选项保持默认配置即可。

【阶段2选择器】部分,配置要保护的本端地址子网和对端地址子网;【阶段2提案】中,我们配置加密算法使用【AES128】、认证算法使用【SHA256】,取消【启用完全前向保密】;为了方便隧道建立,我们勾选【自动协商】;其它选项保持默认配置即可。    

接下来,我们配置静态路由:输入对端的子网网段,接口选择新建的IPsec隧道接口【40gate54】。    

最后,我们再配置一下防火墙策略。防火墙策略分为本端到对端和对端到本端两个方向,我们先配置本端到对端的策略。配置流入接口为内网接口,配置流出接口为IPsec隧道接口;指定源地址和目标地址,需要使用地址对象;服务选择【ALL】,取消【启用NAT】,其它选项保持默认。点击【确认】提交策略。    

然后再配置一条完全相反的对端到本端的策略:配置流入接口为IPsec隧道接口,配置流出接口为内网接口;使用地址对象指定源地址和目标地址;服务选择【ALL】,取消【启用NAT】,其它选项保持默认。点击【确认】提交策略。    

接下来,我们继续配置FGT44。在FGT44的【VPN创建向导】页面,模板类型选择【自定义】,点击【下一步】进入隧道配置的详情页面。

在【网络】部分,因为对端网关没有固定IPv4静态IP地址了,我们配置为【拨号用户】,接口选择【port2】,启用NAT穿越;其他配置保持默认即可。    

【认证】部分,认证方法选择【预共享密钥】,并配置为“40gateipsec”;IKE版本使用v1版本,模式选择【野蛮】。对等体类型

【阶段1提案】部分,配置加密算法使用【AES128】、认证算法使用【SHA256】,DH组选择DH5,其它选项保持默认配置即可。    

【阶段2选择器】部分,配置要保护的本端地址子网和对端地址子网;【阶段2提案】中,我们配置加密算法使用【AES128】、认证算法使用【SHA256】,取消【启用完全前向保密】,其它选项保持默认配置即可。    

因为对端是位于NAT设备之后的拨号设备,我们可以不配置静态路由。

最后,我们再配置一下防火墙策略。配置本端到对端的策略时:配置流入接口为内网接口,配置流出接口为IPsec隧道接口;指定源地址和目标地址,需要使用地址对象;服务选择【ALL】,取消【启用NAT】,其它选项保持默认。点击【确认】提交策略。    

然后再配置一条完全相反的对端到本端的策略。    

因为配置了自动协商,在配置完成之后,稍等片刻即可看到IPsec隧道已经完成协商。

    

从内网设备测试一下。

查看FGT44设备的路由表,可以看到虽然我们没有配置到对端子网的路由条目,但是设备自动生成了一条管理距离为15的静态路由,相比其他静态路由,管理距离则是10。这样的话,FGT44的内网设备也能主动访问FGT45下的内网设备了。    

最后,我们从命令行查看一下IKE详细信息。    

查看IPsec详细信息。    

当然,我们也可以在FGT44设备商手工配置静态路由,更高的优先级会覆盖掉设备自动生成的静态路由。

    

怎么样,配置还是很简单吧?    

***推荐阅读***

strongSwan对接飞塔防火墙

FortiGate手工配置自定义IPsec VPN

Debian系统配置网络的花样还是太多了

安装Debian时千万不要使用网络镜像站点

Ubuntu配置IPsec VPN

转发性能只有1 G吗?Debian使用strongSwan配置的IPsec VPN好像也不太强

strongSwan之ipsec.conf配置手册

strongSwan之ipsec.secrets配置手册

strongSwan穿越NAT与公网VSR对接IPsec配置案例

目前来看,ollama量化过的DeepSeek模型应该就是最具性价比的选择

使用openVPN对比AES和SM4加密算法性能,国密好像也没那么差

FortiGate配置远程拨号VPN

哪怕用笔记本的4070显卡运行DeepSeek,都要比128核的CPU快得多!

帮你省20块!仅需2条命令即可通过Ollama本地部署DeepSeek-R1模型

离线文件分享了,快来抄作业,本地部署一个DeepSeek个人小助理

拿捏!Ubuntu和FortiGate对接GENEVE是如此简单

如何配置GENEVE?我们用飞塔防火墙FortiGate来演示一下

漂亮!FortiGate配置Hub-Spoke类型的IPsec VPN竟然是Full-Mesh架构

fortigate与juniper_IPSEC配置手册.docx
06-23
FortiGate 与Juniper 配置标准/FortiGate 与Juniper 配置标准
fortigate7.2.4
05-20
fortigate7.2.4
日常记录(一)HubSpoke下FortiGate防火墙IPsecVPN搭建
xuyuelin1996的博客
07-12 972
多分支机构与总部互联,拓扑大致为Hub-Spoke的模式,各个分部通过IPsecVPN接入总部,总部为固定IP,分部为ADSL或者固定IP。
火兰hillstone与fortigateipsec v.p.n连接实践
d9394952的博客
12-14 1182
文章目录 参考文档: 开始配置: 一、hillstone端(服务器端) 1、配置IPSec VPN 2、网络连接:新增安全域 3、网络连接:新增隧道接口 3、配置路由:新增目的路由 4、配置策略:对端发起的访问策略(如果要双向,还要多一条本地发起的策略) 二、fortigate端(客户端) 1、配置IPSec Tunnels 2、新增IPSEC (续) (续)注意:如有多个p...
FortiGate配置远程拨号VPN
最新发布
衡水铁头哥的博客
01-20 1405
我们前面介绍了FortiGate如何配置IPsec VPN的两种类型:站到站(卷土重来!这次终于把FortiGateIPsec VPN配置成功了!)和Hub-and-Spoke(漂亮!FortiGate配置Hub-Spoke类型的IPsec VPN竟然是Full-Mesh架构)。这两种IPsec VPN常用在设备之间,除了设备之间,我们之前也了解过终端之间如何建立IPsec VPN(还能这么玩?...
教程篇(7.4) 11. IPsec VPN & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-02 1643
在本课中,你将了解IPsec VPN的架构组件以及如何配置它们。
实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问
防火墙技术专栏
06-12 2837
前面我们实验的是FortiClient客户端与防火墙进行VPN连接,现在我们要做的实验是防火墙防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。
教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
03-09 5268
在本节课中你将了解IPsec的架构组件以及如何配置它们。通过展示IPsec基础知识的能力,你将能够理解IPsec的概念和好处。
FortiGate &IPsec Troubleshooting专题培训
02-23
IPSEC配置详解 Debug 抓包分析详解
如何在FortiGate防火墙配置NAT/路由模式,并确保与多ISP冗余系统兼容?
11-11
NAT模式下,FortiGate可以将私有IP地址转换为公网IP地址,以便设备能够连接到互联网。 在配置NAT/路由模式时,您需要确保外网接口的IP地址设置正确,同时可能需要配置默认网关和静态路由。这样可以确保数据包能够...
Fortigate 7.0.0 firmware fortigate 7.0.0固件
06-26
Fortigate 7.0.0 firmware fortigate 7.0.0固件
IPSEC网络设置
09-03
IPSEC网络设置说明。含基础设置和IPSEC设置说明,CL代码示例
Fortinet 防火墙 IPSEC配置
weixin_61960865的博客
06-20 3208
由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。9、以上是隧道的建立,因为ipsec是基于路由或基于策略实现的所有还需要写好进出口的安全策略,以及出口的静态路由。(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是。
[笔记] FortiGate IPSec+策略路由实现流量的路径分发
wendr的博客
01-18 1862
网安运营 - 运维篇 第一章 FortiGate IPSec+策略路由实现流量的路径分发
教程篇(7.2) 17. IPsec虚拟专用网络 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-22 2618
在本课中,你将了解IPsec虚拟专用网络的体系结构组件以及如何配置它们。
【隧道篇 / IPsec】(5.2) ❀ 03. IPsec - 拨号宽带 to 固定IP宽带 (策略模式) ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
09-06 1万+
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙防火墙之间建立IPsec可以很好满足要求,固定IP宽带和ADSL拨号宽带都很常见,这里介绍两种不同宽带连接IPsec配置方法。 IPsec的作用 IPsec作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一......
【隧道篇 / IPsec】(5.6) ❀ 07. 启用IPsec策略模式 ❀ FortiGate 防火墙
防火墙技术专栏
03-23 1800
IPsec VPN 策略模式怎么启用? 为什么在策略里看不到IPsec VPN选项?   ① 默认情况下,创建IPsec VPN都是直接进入接口模式。划红圈的位置没有任何提示。   ② 在策略的动作属性里,也只有〖接受〗和〖拒绝〗两个动作。   ③ 要启用IPsec VPN策略模式,选择菜单【系统管理】-【可见功能】,启用〖基于策略的IPsec VPN〗。   ④ ......
IPSec NAT穿越原理
Mario_Ti的博客
03-10 4191
文章主要从IPSec VPNNAT场景中存在的问题,引出IPSec NAT穿越这一原理并配置
FortiClient 用IPsec VPN 远程拨号到FortiGate说明文档
Aggy阿吉的博客
07-07 1283
说明:本文档针对IPsec VPN 中的Remote VPN 进行说明,即远程用户使用PC中的FortiClient软件,通过VPN拨号的方式连接到公司总部FortiGate设备,访问公司内部服务器。本文档针对IPsec VPN 中的Remote VPN 进行说明,即远程用户使用PC中的FortiClient软件,通过VPN拨号的方式连接到公司总部FortiGate设备,访问公司内部服务器。步骤六:在VPN中选择监视器,可以监控当前的VPN连接,本地和远程网关,发送和接收的字节数。步骤八:配置导出、导入。
fortigate vxlan sdwan ipsec
12-28
### FortiGate 设备上的 VXLAN、SD-WAN 和 IPSec 配置 #### 1. 创建 VXLAN 接口 为了创建 VXLAN 接口,在 FortiGate 上需进入网络界面并定义新的虚拟接口。 ```bash config system interface edit "vxlan-tunnel" set vdom root set type vxlan set remote-IP> set local-ip <Local-IP> set interface "port1" # 物理端口名称 next end ``` 此命令序列用于指定本地 IP 地址以及远程 IP 地址来构建 VXLAN 隧道[^1]。 #### 2. 设置 SD-WAN 成员和健康检测 接下来,配置 SD-WAN 并加入成员路径。这一步骤涉及设定优先级和服务质量 (QoS),以确保流量按预期分配给不同链路。 ```bash config router sdwan config members edit 1 set interface "pppoe-interface" set priority 50 set health-check "hc_pppoe" next edit 2 set interface "ipsec_tunnel_interface" set priority 70 set health-check "hc_ipsec" next end end ``` 上述脚本设置了两条不同的路径——PPPoE 连接与 IPSec 隧道,并分别为其指定了健康检查机制[^2]。 #### 3. 定义防火墙策略 对于访问控制列表(ACL),即防火墙规则,则应区分内外网请求: 针对外部互联网流量: ```bash config firewall policy edit 1 set srcintf "any" set dstintf "pppoe-interface" set action accept set schedule "always" set service "ALL" set utm-status enable next end ``` 而对公司内部资源的访问则通过 IPSec 隧道转发: ```bash edit 2 set srcintf "internal-network-interface" set dstintf "ipsec_tunnel_interface" set action accept set schedule "always" set service "ALL" set nat enable next ``` 这些设置允许来自特定源接口的数据包仅能经由指定的目的接口传输出去,从而实现了基于目的地址的选择性路由功能。 #### 4. 启用 NAT 转换 当数据流经过私有网络边界时,通常需要启用 Network Address Translation (NAT) 来隐藏真实的内部 IP 地址结构。 ```bash set ip.Pool "ippool-name" set outbound-dnat disable set inbound-snat enable ``` 以上参数调整可以保证从企业内网发出的数据报文能够顺利穿越公共 Internet,同时也保护了内部系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值