【隧道篇 / IPsec】(5.2) ❀ 02. IPsec - 固定IP宽带 to 固定IP宽带 (接口模式) ❀ FortiGate 防火墙

已于 2022-08-01 10:11:51 修改
阅读量7k 收藏 10
点赞数 3
分类专栏: # IPsec 文章标签: Fortinet 飞塔 IPsec 点对点
于 2019-09-18 15:57:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/meigang2012/article/details/53501860
版权

        【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求,这里介绍两端都是固定IP的情况防火墙的配置。

  IPsec的作用

        作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来。  

        IPsec通常是由防火墙与防火墙之间建立连接,但也可以通过远程的客户端与防火墙建立IPsec连接。

  环境介绍

        本次IPsec选用的设备为比较大众化的FortGate 60D与FortGate 90D。

        ① IPsec设置之前需要知道双方的公网地址以及内网地址范围。

        ② 两边内网地址网段不能相同,以免互相访问时发生冲突 。

  配置 IPsec

        为了能够更好的理解两端IPsec设置的区别,我们将两边的设置放在一起介绍。

        ① 选择菜单 【虚拟专网】-【IPsec】-【 隧道】,点击 Create New 新建一条隧道。

        ② FortiGate 90D 与 FortiGate 60D 通过向导建立IPsec隧道对比。

        (1) 用户名建议使用地名加设备简称,会比较方便判断是哪里到哪里 ;

        (2) 因为两边都是FortiGate设备,所以在向导里选项Site to Site;

        (3) 远程网关就是需要连接的对方的外网地址,这里输入对方的外网地址,会自动检测出流出接口;

        (4) 预共享密钥为自定义,要求连接的双方设备都设置为相同的预共享密钥;

        (5) 选择输入本地接口,本地子网会自动填写,远程子网就是需连接的对方内网范围,这里填写对方的内网范围。

        ③ 有的时候会报告错误信息,退出重来又会正常 (可以理解为 Bug)。

  启动与测试

        IPsec建成后需要启动连接。

        ① 选择菜单【虚拟专网】-【监视器】-【IPsec 监视器】,初始状态为断开(红色下箭头图标),鼠标在上点击右键,弹出子菜单,点击启用

        ② 当 IPsec 监视器中的状态显示为绿色向上箭头时,表明已经连接成功。

        ③ Ping对方内网网关,也可以验证是否连通。

        ④ IPsec建好后,就可以安全的访问对方内网了,和本地局域网一样,本例中192.168.1.111就是90D内网中的电脑共享。

          【提示】如果对方内网不能Ping通,有可能是因为对方电脑系统内的防火墙启动了,关闭系统防火墙就OK了。

  删除 IPsec

        当我们因为各种原因需要删除IPsec的时候,先要知道通过模板建立IPsec时,都创建了哪些内容。

        ① 自动建立了两个地址对象。

        ② 自动建立了一进一出的两条策略。

        ③ 自动创建了一条静态路由。

        ④ 从菜单上可以看到,隧道并不可以直接删除,如果需要删除隧道,需要先删除自动建立的一条静态路由和两条进出策略,然后才可以删除隧道。 当然最好也删除两条地址对象及地址对象组。飞塔技术-老梅子   QQ:57389522

企业级无固定IPSEC配置实战
悦分享
10-09 818
早期主模式不能使用在非固定IP场景下 , 进行身份验证密钥查找时,只能根据IP地址进行查找 , 不能根据域名方式进行查找预共享密钥-无法进行身份验证。早期解决方案使用野蛮模式。目前新款网络设备中,大部分设备已经完成主模式功能更新,可以支持通过域名方式完成身份验证。大部分场景下可以不再考虑使用野蛮模式,安全系数低于主模式
H3C 830ipsec配置实例无固定IP
江湖小飞将的博客
11-20 5510
acl advanced 3600 rule 0 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 10.2.2.0 0.0.0.3 destination 192.168.10.0 0.0.0.255 rule 10 permit ip source 172.2.2.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 1
一端是固定ip,另一端ADSL的环境下如何建立IPSEC×××
weixin_33895016的博客
04-15 1387
项目需求:1、上海总部192.168.2.0段需要与武汉分公司192.168.3.0之间可以互访2、开发运维人员在家可以通过***连接到上海总部处理问题当前环境:需求分析:1、两个不同地点办公室互通,可以采用IKE协商方式的IPsec×××来实施2、在家办公可以使用ipsec也可以使用L2TP的方式,本次是为了进一步了解×××,所有搭建了L2TP具体配置:(首先保证每个路由器...
防火墙IPSec (无固定IP地址---一对多)
最新发布
2403_83112422的博客
03-06 895
以FW1所在的站点为总部,以FW2、FW3、FW4所在的站点为分部 目的:实现三个分部能够通过IPSec VPN访问总部(FW1),但三个分部之间无法通信
防火墙配置IPSec VPN(固定IP地址一对一)
2403_83112422的博客
03-06 656
此文章展示的是防火墙实现固定IP地址IPSec vpn
火兰hillstone与fortigateipsec v.p.n连接实践
d9394952的博客
12-14 1211
文章目录 参考文档: 开始配置: 一、hillstone端(服务器端) 1、配置IPSec VPN 2、网络连接:新增安全域 3、网络连接:新增隧道接口 3、配置路由:新增目的路由 4、配置策略:对端发起的访问策略(如果要双向,还要多一条本地发起的策略) 二、fortigate端(客户端) 1、配置IPSec Tunnels 2、新增IPSEC () (续)注意:如有多个p...
【思科】IPsec VPN 实验配置(地址固定
2301_77161465的博客
01-17 3643
文章是关于思科的IPsec VPN里面的,但它的情况是两端的IP地址都是固定的,里面的配置的话,每行都会有注释,会更详细些,有问题可以评论区见啦
基于ZStack云平台部署FortiGate
zstack_org的博客
03-12 1174
作者:邵悠锋 前言 随着云计算技术的不断完善和发展,云计算已经得到了广泛的认可和接受,许多组织已经或即将进行云计算系统建设。同时,以信息服务为中心的模式深入人心, 大量的应用正如雨后春笋般出现, 组织也开始将传统的应用向云中迁移。 云计算技术给传统的 IT 基础设施、应用、数据以及IT 运营管理都带来了革命性改变,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战,也...
【Disperse软件网络设置】:网络性能与稳定性优化的终极指南
![Disperse 软件用户手册](https://opengraph.githubassets.com/4d2be7c797c25e1f31b4fc6013a14f62973cf1f083e528176cc40fca49f7fb0a/thierry-sousbie/DisPerSE) ...# 1.... ## 1.1 网络设置的重要性 Disperse软
VPN技术演进与选择指南
VPN利用加密、隧道协议等手段,在公用网络上模拟出一条逻辑上的专用通信线路,实现远程用户接入、数据传输等功能。VPN的基本概念包括隧道、加密以及身份认证等技术要素。 ## 1.2 VPN的应用场景 VPN技术被广泛应用...
IPsec VPN配置实验(固定地址
m0_69435261的博客
12-28 1288
就是IPsec的实验配置的话,它们的那么就用第一阶段的主模式(Main Mode)和第二阶段的快速模式(Quick Mode)后面会有一个地址固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段模式会改变。
跨厂商IPSEC实践配置--总部(华为USG)防火墙和分支机构(思科ASA)防火墙之间点到点IPSEC 连接,两端公网出口IP固定、且出口存在NAT
aassassinator的博客
12-12 3885
一、案例介绍 本例介绍总部和分支机构的出口网关同时为NAT设备时如何建立IPSec隧道 二、组网拓扑 某企业分为总部(A)和分支机构(B)。 如下图所示: (建议将上图画在草稿纸上,标好端口及IP,以便后续配置时候查看) 组网如下: • 总部(A)和分支机构(B)分别通过FW_A和FW_B与Internet相连。 • FW_A和FW_B公网路由可达。 • 总部FW_A和分支机构FW_B为固定公网......
【华为】IPsec VPN 实验配置(地址固定
2301_77161465的博客
01-08 5686
文章是关于IPsec VPN的 实验配置,场景是在两端的IP地址都是固定的情况下,里面有配置思路和配置代码,还有注释等等
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 1万+
路由器基础(十二):IPSEC VPN配置
H3C-IPSec方案部署
Galdys的专栏
11-23 2860
IPSec方案部署 通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程中有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。 一、              常规IPSec方案 上图所示网络环境是最基本的IPSec应用场景: 1.       响应方无论在何种环境都是固定公网地址2.       发起方也是固定公网地址
IPsec vpn 配置实验(一端动态地址
m0_69435261的博客
12-30 1323
因为本文章,就是IPsec的实验配置的话,是有一端IP地址固定的情况下,就需要用到野蛮模式的,第一阶段会更改模式啦,两端都需要更改对于地址固定的总部来说,需要以下注意的点:1) 动态模板 :如拓扑图中,R1是地址固定那一段,然后它想和自己的分部R3建立IPsec VPN,在不清楚R3的IP地址下,是无法用常规的办法来配置,我们就只能用template来建立2)无需设置ACL: 因为我们并不清楚分部那边有哪些私网的网段那如何去与一端地址固定的设备建立IPsec 呢?
2. 详解 IPSEC 的认证模式、主模式和野蛮模式
热门推荐
weixin_38387929的博客
06-02 1万+
. 基本名词解释 1. IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2. 安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址
IPSEC的原理及配置步骤整理(一)
m0_60444349的博客
08-10 6948
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式隧道模式两种。.........
配置401E防火墙,使用网线连接管理电脑到 FortiGate 的 MGMT但无法访问 **https://192.168.1.99**
02-07
### 解决方案 对于FortiGate 401E防火墙,在尝试通过浏览器访问管理界面遇到困难时,可能的原因涉及多个方面。具体来说: #### 接口配置确认 确保用于管理的计算机已正确连接至MGMT端口,并且该端口确实被分配了IP地址`192.168.1.99`[^1]。 #### 浏览器设置检查 验证所使用的Web浏览器是否支持HTTPS协议并能正常解析指定URL `https://192.168.1.99/` 。某些情况下,浏览器的安全策略或插件可能会阻止此类请求。 #### SSL证书问题排查 由于默认采用的是自签名SSL证书,首次登录时浏览器会提示安全警告。需手动接受此证书才能继续加载页面。如果不这样做,则可能导致看似“无法访问”的情况发生。 #### 网络连通性测试 利用命令行工具如`ping` 或者 `telnet` 来检测从客户端到服务器之间的网络路径是否畅通无阻。注意,在执行这些操作前应先确认防火墙上已经启用了相应的服务并且允许来自本地子网内的流量到达目标端口号(通常是TCP 443)。然而需要注意的是,出于安全性考量,建议仅限于内部接口开启这类诊断功能[^3]。 #### 控制台直连调试 当远程web管理不可用时,还可以考虑使用串口线缆直接连接到设备前端板上的控制台上进行初步设定调整。这一步骤尤其适用于初次部署场景下尚未完成基本网络参数初始化的情况[^2]。 ```bash # 使用 ping 命令测试与 MGMT IP 地址 (192.168.1.99) 的连通性 $ ping 192.168.1.99 # 尝试 telnet 到 HTTPS 默认端口 443, 查看是否有开放 $ telnet 192.168.1.99 443 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值