FortiGate-IPSec-培训.ppt

IPSecVPNTraining 2008 7 Fortinet产品技术培训系列VPN技术和配置 1 IPSecVPN基础 请参阅IPSEC基本技术介绍书籍 2 FortiGate系统IPSEC配置及维护 物理结构 所有型号都具有 网络接口RJ45SFP XFP onsomeenterprisemodels 串口标准RJ45 DB9 9600 8 N 1 None 有些型号具有的特点 集成的交换接口LCDUSB接口硬盘AMC 注册 注册防火墙设备的好处 保修及支持服务网上查询设备信息在线提交服务ticket访问技术支持论坛获得OS更新文件 在支持服务网站上注册 服务协议 支持的协议号 设备信息 系统软件维护 OS升级文件可以从下载OS升级或降级前必须备份当前配置OS升级文件与设备型号必须一致 系统软件升级 OS升级可以通过以下方式 FortiUSBGUI POST CLI TFTP CLI FTP TFTP方式升级OS TFTP方式升级OS TFTP方式升级OS 管理 用于维护和管理来访问防火墙基于接口来配置缺省状态下 只有 internal 可以通过图形界面和命令行来访问缺省的帐号是 admin 密码为空 系统面板 SystemInformation LicensingandEntitlements ContentandAttackStatistics Menu MessageConsole 帮助 帮助 点击串口右上角的 配置接口IP 三种方式 Static e g 192 168 1 99 255 255 255 0 DHCPPPPoE每个接口支持多个IP地址 可以配置独立的管理权限 静态路由 缺省网关用于访问公网 FortiGate访问FortiGuard和DNSservers基于目的和子网长度的路径判断可以指定出口和距离 1 255 同一目标的多条路由可以并存 但是只有一条是优先的 CLI 概述 通过SSH Telnet 或者serialconsole分支结构configsysteminterfaceeditport1setvdom root setip172 20 110 251255 255 255 0 branch table parameter CLI 基础 命令行层次结构configeditnextendexitabort使用 查询可用指令使用将命令补齐 CLI Config 可以进行设置设置wan2的IP FortiGate 60 configsysteminterface interface editwan2 wan2 setip192 177 11 12255 255 255 248 wan2 endFortiGate 60 CLI Get 显示参数和当前值 internal getname internalvdom rootcli conn status 0mode staticdhcp relay service dhcp relay ip dhcp relay type ip 192 168 96 254255 255 255 0allowaccess pingHTTPSHTTPtelnet CLI Show 显示设置的命令 internal showconfigsysteminterfaceedit internal setvdom root setip192 168 96 254255 255 255 0setallowaccesspingHTTPSHTTPtelnetsettypephysicalnextend CLI Execute 执行某些命令 例如 executefactoryresetexecutepingexecutebackup 管理员 配置防火墙和帐号可以通过CLI GUI来访问防火墙帐号是存在本地或者Radiusserver或使用PKI登录和密码是大小敏感的 管理员 根据访问权限表来设置管理员的帐号信任主机可以限制使用该帐号的主机的IP地址 维护 防火墙的维护包括以下内容 备份配置IPS特征库升级Anti virus特征库升级FortiGuard中心固件升级FortiGuard服务注册和维护 配置备份 配置可以以以下方式进行备份 GUICLI备份文件可以发送到 FortiUSBLocalPCGUI HTTP LocalPCGUI SCP LocalPCCLI TFTP 配置的备份 有三种信息可以备份 明文完整配置密码保护密码保护备份方式含有 IPSec证书的备份防止修改 checksum 系统健康监控 健康监控 CPU内存活动会话数量网络使用率硬盘 防火墙会话表 查看当前的会话可以基于以下内容过滤 ProtocolSourceIP PortDestinationIP PortFirewallPolicyID允许删除会话 3 日志和报警 配置 选择日志方式和级别 FortiAnalyzerSysLog内存硬盘 部分型号 启用日志 保护内容表 内容层 事件日志 系统和VPN事件 防火墙策略和接口 流量日志 日志级别 级别 EmergencyAlertCriticalErrorWarningNotificationInformation例子 2007 01 1114 23 37log id 0104032126type eventsubtype adminpri notificationvd rootuser adminui GUI 192 168 96 1 seq 3msg Useradminaddednewfirewallpolicy3fromGUI 192 168 96 1 事件日志 内容 核心系统事件VPN事件管理事件 内容检测日志 在保护内容表中开启 流量日志 流量日志可以记录在远程设备上 FortiAnalyzer SysLog 内存中无法记录不建议记录在硬盘上流量日志可以基于以下对象启用 每条防火墙策略每个接口基于防火墙策略的流量日志更加细致 也更有助于排错 查看日志文件 日志记录在本地 或者FortiAnalyzer 可以通过 LogAccess 来查看 告警E mail 根据消息的级别来产生邮件定义好的级别or事件类别添加三个接收者支持SMTP认证 SNMP 支持SNMPV1和V2cMIB库可以从Fortinet支持网站上下载到在接口上启用Read get accessonly 4 防火墙策略 防火墙策略 概述 策略是按照进出流量的接口部署的流量如果没有匹配的防火墙策略的话 是不能穿过设备的 防火墙策略 图形界面 SOHO型号缺省有从Internal到External策略 Firewall Policy 防火墙策略 动作 数据包根据以下参数匹配策略 地址 协议及端口 ICMP类型 代码 时间NAT 路由模式下 防火墙策略还决定流量是否需要进行NAT两种主要的类型AcceptDeny 防火墙策略 接口 服务 NAT Route 保护内容表 状态检测 TCP状态在会话表中可以跟踪为非状态协议建立伪状态IP UDP ICMP 防火墙地址 IP Range 两种类型的地址 IP IPRangeFQDN定义的多种方式 192 168 1 99192 168 1 0 255 255 255 0192 168 1 0 24192 168 1 99 192 168 1 105192 168 1 99 105 防火墙地址 FQDN 防火墙本身的DNS用来解析FQDN地址对象的FQDN解析的缓存时间是由DNS服务器决定的 防火墙服务 概述 基于端口的自定义 e g HTTP tcp 80 已经预定义了很多服务可以创建服务的组 防火墙服务 定制 以下协议可以定制 TCP UDPICMPIP 防火墙时间表 防火墙的基于时间的控制 支持IPV6和多播 所有的IPV6和多播都是通过命令行来配置的IPV6地址可以配置到任一接口IPV6对象和策略policy6address6addrgrp6多播策略multicast policy 认证 用户对象是认证的一个方法用户组是用户对象的容器识别组成员保护内容表和类型实现对成员的认证属性FortiGate基于组的方式控制对资源的访问用户组和防火墙策略定义了对用户的认证过程 认证 用户和服务器类型 支持以下类型的认证 LocalpasswordfileUsernameandpasswordpromptRADIUSUsernameandpasswordpromptLDAP ADUsernameandpasswordpromptFSAE NTLM AD SingleSignOnbasedonearlierauthenticationeventPKICertificatebasedauthentication nousernameorpassword 认证 服务 Firewall策略SSLVPNIPSecVPNPPTP和L2TPAdmin登录FortiGuardWeb过滤跳过 防火墙策略 用户组被链接到普通的防火墙策略认证成功的 将产生一个临时的策略在 authtimeout 后 该策略会被删除Local RADIUS LDAP认证方式会引导用户进入登录界面认证成功后 用户被重定向到所要访问的页面WindowsAD FSAEandNTLM 用户登录域可以基于AD的组方式来确认是否被认证PKI方式允许用户通过证书方式认证HTTPS andHTTPwithredirecttoHTTPS IPSecVPN Phase1对象认证远程网关是通过PeerID 共享密钥和证书动态IP远程网关采用野蛮模式发送明文的PeerID来实现认证Xauth可以为拨号的远程网关提供用户名和密码的认证Xauth将用户组与防火墙与VPN连接在一起 RADIUS FortiGate作为networkaccessserver NAS 用户信息被送到RADIUSserver用户的认证取决于服务器的响应对象识别识别IP地址和共享密钥 最多支持两个RADIUSserversRADIUS对象可以用来所有的服务的认证Admin用户的Radius认证 LDAP FortiGate可作为LDAP客户端来连接LDAPserver或ActiveDirectory支持RFC2251的LDAP协议标准来验证用户名和密码FortiOSv3 00支持三种LDAP认证方式 Simple providessimplepasswordauthenticationwithoutsearchcapabilities default Anonymous bindstotheserverasanAnonymoususer ItthenperformstheLDAPsearchandthesecondarybind Regular binds logson totheLDAPserverwithauser specifiedusernameandpassword ItthenperformstheLDAPsearchandsecondarybind FSAE FortinetServerAuthenticationExtension FSAE 单一登录基于用户组的AD的认证FSAE有两个组件必须安装的 domaincontroller DC agentmustbeinstalledoneverydomaincontrollertomonitoruserlogonsandsendinformationaboutthemtothecollectoragentThecollectoragentisinstalledonatleastonedomaincontrollertosendtheinformationreceivedfromtheDCagentstotheFortiGateunit PKI Web认证 防火墙策略 GUIAccess HTTPSAdmin SSL VPNIPSec 总结 认证是支持Adminusers 防火墙策略和VPN访问认证类型可以是Local RADIUS LDAP FSAE X 509Localpasswordisnotscalableforalargeorganization用户组的属性为认证用户提供专门认证在域模式下 可以实现单点登录必须在所有域控制器上安装服务 NAT 防火墙策略 单向的 StandardIPPoolFixedPort虚拟IP 双向的 StaticLoadBalanceServerLoadBalance 防火墙策略 标准 端口地址翻译为外部接口IP地址 防火墙策略 IPPool 地址翻译成指定范围的IP地址Firewall VirtualIP IPPool 防火墙策略 固定端口 源端口在穿过防火墙的时候不能被更改该技术对于那些与地址翻译相矛盾的应用来说是有用的 防火墙策略 配置 防护墙策略 选中防火墙策略中的NAT防火墙策略部署IPPool 创建IPPool选中防火墙策略中的NAT选中 DynamicIPPool 选择相应的IP地址池使用固定端口的防火墙策略 选中防火墙策略中的NAT选中 FixedPort 虚拟IP 用来让公网能够访问内部的主机 e g DMZ 指定NAT映射给内部的连接三种类型 静态NAT负载均衡服务器负载均衡能够执行端口转发 虚拟IP 静态NAT 在内部IP地址和外部地址之间创建双向转发来内部的数据流的源地址被翻译可能使用的地址范围转口转发可以选择改变源或目标端口 虚拟IP 负载均衡 外部地址可以被映射到多个内部IP地址从外部来看只有一个IP地址外部地址必须是静态的 没有分配给任何接口Roundrobin用来作负载均衡 5 路由 支持的路由类型 静态静态路由直连网络缺省路由动态RIPOSPFBGP策略路由 网关检测 使用 pingserver GUI 或者 detectserver CLI 用ICMPping来检测某主机是否能够抵达来判断所指定的接口是否工作ICMPping间歇和阈值都是可以配置的 静态路由 是仅基于目的的路由根据metric或distance来判断优先级的如果没有配置网关的话 则使用接口的缺省网关可以在命令行下设置优先级 策略路由 其路由判断是根据以下因素判断的 源地址 目标地址协议流入接口目标端口或范围 策略路由的特点 建立在静态路由和直连路由的基础上的通畅不需要指定网关不能在图形界面的路由监控和命令行下的路由表中显示出来 diagnoseiproutelist 发源于防火墙的流量不能使用策略路由按照顺序 策略 负载均衡 用策略路由来对指定流量进行选择和指向从Internal接口来的流量流入到 ISP1 从DMZ接口来的流量转到 ISP2 动态路由 概述 让FortiGate路由表自动地更新路由支持RIPv1 v2 OSPF和BGP能够在图形界面和命令行下查看路由支持ACL PrefixLists 和RouteMaps 动态路由 IGPvs EGP IGP InteriorGatewayProtocol用来autonomoussystem内实现路由两种类型 Link state Distance vectore g OSPF RIPEGP ExteriorGatewayProtocol用于autonomoussystems之间的路由Path vectorisstandarde g BGP 动态路由 ACL 对动态路由的行为进行更细粒度的控制只能从命令行下配置 动态路由 RIP IGPDistance VectorprotocolVersion1和2基于网络接口进行设置支持key chaining v2 和ACLRIPv1 classful RIPv2 classless 动态路由 OSPF IGPLink state协议 基于SPF Dijkstra 算法划分成不同的area使用多播和单播来获得更新 224 0 0 5 224 0 0 6 应用于大型的largerautonomoussystems无类的 基于IP的路由协议 动态路由 BGP EGPPath vectorprotocol用于autonomoussystem之间的路由核心的Internet路由器的标准EGP Loopback接口 用于 EndpointsforGREtunnels andIPSectunnelsRouterIDsinOSPF BGPandRIPRoutingredundancyBlackholesfordynamicrouting只能在命令行下创建 settypeloopback 6 FortiGateIPSecVPN实现方式 FortiOS IPSecVPN实现 可以配置两种模式的IPSecVPN Policy basedVPN TunnelMode 基于策略的VPN 又叫通道模式的VPNRouted basedVPN InterfaceMode 基于路由的VPN 又叫接口模式的VPN 选择基于策略的VPN还是基于路由的VPN是在定义阶段1时确定的 在阶段1的高级配置选项中启用IPSec接口模式 缺省状态下是没有启用的 基于策略的VPN 通道模式 IPSec相关的防火墙策略用于控制进出接口的IPSec流量内嵌于其他类型的防火墙策略中对顺序是敏感的单一的防火墙策略支持双向的数据流有选项支持接受和发起呼叫只需要定义一条从内向外的策略阶段2选择器可能有助于纠正防火墙策略集中器 星型 VPN支持指定阶段2成员设置具有合适的源 目的子网的防火墙策略 基于路由的VPN 接口模式 IPSec虚拟接口是物理 汇聚或VLAN接口的子接口当阶段1连接到对端时 虚接口就会up阶段2绑定才会有网络流量所有通过该端口的流量都是隐含加密的 这样防火墙的策略就只需要指定允许或拒绝 Deny Accept 就可以了每一个接口只有一个远程网关要产生通道模式集中器的行为 你可以 在每对IPSsec接口之间定义防火墙策略使用一个区 zone 和单个区到区 zone to zone 策略 或者使用一个区 zone 和启用intra zone流量 基于路由的VPN 接口模式 常规的Accept Deny防火墙策略控制IPSec接口的进出流量可以对进出流量进行更细粒度的控制接口模式VPN通道允许发送和接收路由信息数据包像组播 或动态路由协议像RIP OSPF或BGP简化了VPN通道冗余的实施通过设置具有不同distances的静态路由来实现冗余 7 通用IPSecVPN示例 如何创建一条VPN 这个文档为最终用户或合作伙伴提供的一个VPN的参考资料 在这里我们将详细的一步一步的介绍VPN的配置 这里列举了一些常用的例子 如何建立一条VPN 在FortiOS中创建VPN一般的步骤 了解本地和远程的网络 网段 也就是 AKA 快速模式选择器 创建阶段1创建阶段2为本地和远程网络创建FortiOS对象 以本地和远程网络作为源和目的来定义防火墙策略 在动作总选择IPSec 选项 如果使用接口模式IPSec 你需要为每个虚接口定义策略 测试VPN 阶段1的配置界面 定义期望的对象和动作 将新策略放置在每个接口的第一个 这样配置VPN完成 如何建立一条VPN 下面例子是的配置步骤和前面提到的类似 但注意看 SitetoSiteVPN典型的网络拓扑 注意 我们在使用野蛮模式 这样可以允许我们通过ID来选择通道 当对端连接的也是一台FortiGate设备时 你可以不去配置高级选项 保留其缺省的状态 定义本地和远程网络对象 定义本地和远程网络对象 缺省时策略的位置是在后面的 我们必须把它放在第一的位置 这样这个策略才能正确的应用 必须把策略放在 2 的前面 这样才能正常工作这样我们中心FortiGate设备的配置完成了 如何建立一条VPN 刚才完成了中心点FortiGate的配置 下面要配置远程的FortiGate了 网络拓扑如下 一台60B 先检查运行情况 和版本 FYI FG 60B通过BAM猫连接Internet 和中心VPN的配置参数一样 因为就是一个端口策略 所有我们可以省掉端口选择的步骤 通道是down的 为什么 因为我们是远端对等体 我们必须启动通道 可以手工启动 也可以通过在通道中发送数据启动 8 拨号方式IPSecVPN Dial Up连接使用DHCP IPSec 这是一个企业网络通常的需求 企业的IT部门必须允许销售人员 经理 总监和CEO的计算机访问公司的网络 当这些人在出差在路上的时候公司使用ERP也需要直接能够访问远程的计算机 通过IPSecVPN网络 为什么通常的拨号网络不能够满足需求 普通拨号不能分配一个有效的IP地址来访问公司内部的局域网 这个限制被DHCP IPSec消除了 通过IPSec连接到公司的内网 FortiGate会给拨入的计算机分配内网的IP地址 拨入计算机就能够访问公司内部的网络了 创建DHCP IPSec的拨号VPN的通常的步骤如下 了解本地和远程的网络 网段 也就是 AKA 快速模式选择器 在外连接口上创建IPSecDHCP服务器创建阶段1创建阶段2为本地和远程网络创建FortiOS对象 以本地和远程网络作为源和目的来定义防火墙策略 在动作总选择IPSec 选项 如果使用接口模式IPSec 你需要为每个虚接口定义策略 配置FortiClient FTC 测试VPN 拨号DHCP IPSecVPN连接 典型的网络拓扑一般就是这样的 对于策略对象 我们建了一个范围 而不是一个网段 现在我们测 我们有FTP服务器在中心FortiGate的后面 可以正常的访问Ping和traceroute 一些经常问到的问题 FrequentlyAskedQuestions 我的DHCP IPSec看上去工作正常 但是我不能访问远程的PC和服务器 可能是你的个人防火墙设置了不允许你访问远程未知的网络PC和服务器有到FortiGate返回的路由吗 我看到在VPN的接口上配置了一个DHCP服务器 我还可以再配置另一个DHCP IPSec服务器吗 到目前为止只有通道模式的VPN支持DHCP IPSec 在每一个对外连接端口上只能定义一个DHCP服务器 你也许看到某些接口模式的VPN支持DHCP IPSec 但到3 0MR5为止 是不支持的 9 IPSecVPN星形集中器 星型和集中器 典型的网络拓扑是这样的 HUB 中心VPN网关 Spoke 远程办公室 Spoke 远程办公室 星型和集中器 在这个例子中 网络拓扑如下 HUB SpokePuebla SpokeDF 静态公网地址本地网络 192 168 110 0 24 动态公网IP本地网络 192 168 140 0 24 动态公网IP本地网络 192 168 123 0 24 星型和集中器 配置HUB 配置中心点的VPN 常规的VPN配置 首先选通道模式 拨号 然后创建网络组 这个网络组要包括所有spokes的网段 这将是快速模式选择器的目的 然后在创建策略 这样我们就完成了第一部分的配置 在配置完远程 spokes 后 我们将创建VPN集中器 然后我们将检查配置 然后再测试VPN 这是通道模式下VPN集中器的测试 现在我们为spokes创建了一个超网 super network 创建了一个网络组 组内包括了所有的网络 这里VPN通道的VPN集中器是工作在 通道 模式下的 配置Spoke 配置spoke 创建静态IP地址通道 连接到中心的FortiGate 配置VPN相关的参数 创建网络组 包括集中器后面所有的内部网络 集中器后面所有的内部网络其他spokes后面所有的网络 创建网络组 包括本spokes后面所有的网络 完成通道的创建测试VPN 到HUB的VPN配置已经完成你可以用以上的步骤配置第二个spokes 下面测试 先测试从中心到各个spokes的通信 可以看到两个spokes都可以到达 我们也可以访问在 DF spokes后面的FTP服务器 这就是VPN集中器 使用拨号VPN在通道模式下的例子这里有几点需要注意的是 这是一个拨号通道的集中器 如果远程对等体不发生数据到集中器 那么通道会down 并且不会重新协商建立 要避免以上情况的发生 请在spokes配置的阶段2中选择 autokeykeep alive 接口模式的VPN如何配置 在IPSecVPN配置指南中已有详细的描述 在 HTTP 你可以发现详细的配置文档 如果你在接口模式下配置VPN集中器 你只需要创建接口区 zone 将所有的VPN接口包括在里面 启用允许 intra zone 就可以了 10 双ISP情况下的IPSec 双线ISPVPN 双对等体ISP 典型的拓扑图 远程VPN网关 中心VPN网关 双ISP 双线ISPVPN 双对等体ISP 本例子的拓扑图如 远程VPN网关 中心VPN网关 双ISP 远程网络 192 168 123 0 24 中心网络 192 168 140 0 24 双线ISPVPN 双对等体ISP 配置冗余VPN的最好的方法是使用接口模式的IPSecVPN 配置步骤 还是先从中心设备开始 创建拨号接口模式VPN通道 快速模式选择器必须和拓扑图上的网络一致 在通道模式的VPN 是策略触发了VPN连接 在接口模式的VPN 是路由触发了VPN连接 创建一条具有目的地址路由 使用VPN接口作为外连的接口 创建防火墙策略 因为我们工作在接口模式 要建立从VPN接口到本地接口的进出两条策略 测试VPN连接 双线ISPVPN 双对等体ISP 远程对等体的配置 验证网络接口的配置 它们的缺省网关要有相同的距离 distance 通过定义优先级 priorities 来确定那个接口是主出口 哪个接口是备出口 创建接口模式的VPN通道 使用主接口作为外连的接口 注意要启用 DeadPeerDetection 我们将看到FortiGate把哪个接口作为了主接口 创建接口模式的VPN通道 使用备接口作为外连的接口 注意要启用 DeadPeerDetection 创建一条到中心网络的路由 使用主接口作为外连接口 将它的距离 distance 设置为小于缺省路由的距离 distance 创建一条到中心网络的路由 使用备接口作为外连接口 将它的距离 distance 设置为大于主接口路由的距离 distance 但要小于缺省路由的距离 distance 创建相关的防火墙策略 每个接口要有一出一进两条策略 测试VPN 包括链路的切换 双线ISPVPN 双对等体ISP 下面是这些配置步骤 常规的阶段2配置 检查快速模式选择器的配置是正确的 路由是这样的 现在查看通道 发现现在没有通道连接到中心现在我们要配置远端的双 ISP的FortiGate 中心的配置已经完成 双线ISPVPN 双对等体ISP 对等体FortiGate连接双线ISP的配置 见下面 阶段2是完全相同的 只是名称不同而已 快速模式选择器 QMS 也是相同的我们应该启用 AutoKey KeepAlive 因为我们是拨号对等端 我们可以看到在对等体FortiGate上有一对VPN通道 正在准备启动 现在开始测试 ping traceroute和FTP访问 在这里我们不能看到数据包的路径 不能看到数据包经过了哪些端口 Wan1 Wan1 双线ISPVPN 双ISP连接的中心 典型的网络拓扑 在这个例子中 中心GW通过两个ISP连接到Internet 连接到远端的VPNGW 中心VPN网关 远程VPN网关 双ISP 双线ISPVPN 双ISP连接的中心 这里我们将不再详细的描述配置的每一个步骤 因为它和我们前面的双线路的配置是一样的 仅有以下不同 一对拨号的接口模式VPN通道配置在中心的GW上 具有它们各自的快速模式选择器 QMS 全部的通道创建其相应的防火墙策略 远程对等体将有两个静态IP接口模式的通道定义 两个通道都通过相同的外连接口 但是每一个远程的接口地址是不同的 在远程对等体上配置防火墙策略 通过两个路径来访问中心的GW真正的冗余备份时来自于静态路由 你将要定义一对相同的路由 具有不同的距离 这时 路由通过同一接口指向不同的网关 这是通道冗余备份的另一个例子 注意 我们可能遇到中心点和远程点都是双线连接的例子 11 IPSecVPN主站点备份 备份主站点 典型的网络拓扑 IT部门在XYZ城 主VPN网关在XYZ城 备VPN网关在ABC城 远程VPN网关 备份主站点 如果在你的中心路由器启用了OSPF动态路由协议 那么这个配置是很容易的 在这个例子中 我们假设我们的路由器上运行了OSPF 主VPN网关在XYZ城 备VPN网关在ABC城 MainsiteNet 192 168 170 0 24 静态公网IP 内网IP 192 168 100 128 中心OSPF路由器IP 192 168 100 1 内网IP 192 168 100 254 动态公网IP 远程站点网络 192 168 140 0 24 内网IP 192 168 140 1 远程网络 MainsiteNet 192 168 170 0 24 IPSec主接口IP地址 192 168 251 1 内网IP 192 168 100 128 中心OSPF路由器IP 192 168 100 1 远程站点网络 192 168 140 0 24 内网IP 192 168 140 1 IPSec备用接口IP地址 192 168 252 1 双ISP接口模式通道 主通道IP 192 168 251 2备份通道IP 192 168 252 2 远程站点 主站点在XYZ 内部IP 192 168 100 254 备份站点在ABC 备份主站点 前面已经介绍了接口模式的IPSecVPN的配置 这里不再赘述 我们假设这些配置以及完成 我们将详述关于路由部分的配置的例子 我们开始吧 主站点的VPN通道可以配置为拨号也可以是静态IP地址 这在本例子中没有关系 重要的是定义我们将接收哪个对等体ID 因为我们是按网络路由来工作的 因此不能使用一个有多个连接的通道 你可以看到 接口已经添加 并且具有相应的IP地址 和我们在拓扑图中的IP地址一致 因为经常会有数据流量到达中心 所有通道会自动的UP 如果我们需要的话 可以在远程站点上启用Autokey KeepAlive 备份主站点 远程对等体的配置 与前面基本相同 不同的是每个IPSec接口都必须要有IP地址 快速提示 在两个通道上 快速模式选择器 QMS 必须要设置为全0 可以通过策略来进行访问控制 每个对象作为分别作为源和目的地址 VPN通道 显示的防火墙策略 请注意对地址的访问控制 一旦配置完成 我们可以看到两个通道都开始UP了 重要的提示 在进行网络的实施时 我们必须要有很好的文档 在进行配置前 至少要有以下的文档 所有相关的网络 分配给IPSec接口的网段的地址 预共享密钥对等体ID 请强制中心通道接受指定的对等体ID 由于这个原因 应该选择使用野蛮模式 可以使用Debug Debug是一个很好的工具 在配置中出现问题时 建议使用 12 IPSecVPN远程日志收集 点到点VPN 远程FG到中心FG FG发送日志到FA 一个点到点的VPN 远程到中心 远程FG发送日志到中心的FA 中心有一台FortiManager管理FG 以下是网络拓扑 中心VPN网关 远程VPN网关 点到点VPN 远程FG到中心FG FG发送日志到FA 在开始配置前 我们必须知道 FortiGate在缺省的情况下会与它的FortiAnalyzer通信 通过wan接口来发送数据到FortiAnalyzer 这就造成了独特的问题 FAIP 192 168 170 100 FMGIP 192 168 170 100 Central ADMIN Net QMS 192 168 170 0 24 FGWan2 189 128 X Y FGIntIP 192 168 170 1 FFIntIP 192 168 140 1 FGWan2 189 128 X Y ManagedNet QMS 192 168 140 0 24 中心VPN网关 远程VPN网关 点到点VPN 远程FG到中心FG FG发送日志到FA 这里我们要强调的是 所有从远程FG发出的数据包 将具有如下的IP地址对 FROM 189 128 X YTO 192 168 170 100但是的QMS 快速模式选择器 分别是170 0 24和140 0 24 它们的工作是正常的 但是FG的流量永远不能到达FA设备 FAIP 192 168 170 100 Central ADMIN Net 192 168 170 0 24 FGWan2 189 128 X Y FGIntIP 192 168 170 1 FFIntIP 192 168 140 1 FGWan2 189 128 X Y ManagedNet 192 168 140 0 24 中心VPN网关 远程VPN网关 点到点VPN 远程FG到中心FG FG发送日志到FA 这个问题的解决方案是在IPSec接口上使用NAT 就是NAToverVPNIPSecInterfaceModetuunel 在中心的配置步骤是 在中心的FG上创建IPSec接口模式通道 在阶段2的QMS 快速模式选择器 定义中 指定网络192 168 0 0 16作为目的网络 创建防火墙策略 允许进出的流量 选择相应的源和目的网络地址 为新的IPSec接口配置IP地址 在这个例子中 分配如下 192 168 253 1 中心VPN接口192 168 253 2 远程VPN接口 测试和Manager以及FA的连接 点到点VPN 远程FG到中心FG FG发送日志到FA 远程FG的配置步骤如下 创建IPSec接口模式通道 采用静态IP地址 IP为中心的FG 在阶段2的QMS 快速模式选择器 定义中 指定网络192 168 0 0 16作为源网络 创建防火墙策略 允许进出的流量 选择相应的源和目的网络地址 在从内到IPSec Int的策略中启用NAT 为新的IPSec接口配置IP地址 在这个例子中 分配如下 192 168 253 1 中心VPN接口192 168 253 2 远程VPN接口 测试和Manager以及FA的连接 点到点VPN 远程FG到中心FG FG发送日志到FA 看下面的配置 先是中心点的 后是远程点的 点到点VPN 远程FG到中心FG FG发送日志到FA 配置远程FG 就像我们在中心FG的配置一样 配置阶段1和阶段2 配置静态路由 重要的步骤是配置IPSec接口IP地址 和启用NAT的策略 定义远程内网IP地址 作为连接点 添加并发现它 设备已经发现 设备最后完全同步 设备已经被FortiManager全面管理 13 特殊的IPSecVPN例子 使用VPN实现中心内容检查 中心内容检查可以通过配置HUB和Spokes来实现 可以在中心配置防火墙策略后生效 远程的网关是一个 哑 盒子 不进行内容检查 这样可以 节省资源减少服务费用远程的网关可以不是FortiGate设备中心的带宽要有足够的带宽 可以满足所有流量的需求 接口模式的VPN使实现变得非常容易通过VPN接口的内部流量有一个缺省路由 这使配置变得很容易 HUB Spoke Spoke Spoke 使用VPN实现中心内容检查 HUB Spoke Spoke Spoke 外部Web服务器 使用VPN实现中心内容检查 www F 1 Userrequestswww F 子网重叠 基于策略的VPN的配置在命令行下为IPSec策略设置一个NATip也就是源地址10 0 1 0 24 NATip172 16 1 0 24 前三个8位组将实现地址转换基于路由的配置使用IPpool和VIP相结合Outgoingpolicy NAT IPPOOLIPPoolrange172 16 1 0 172 16 1 255IncomingPolicy的目的地址是VIPVIPtypestaticexternalIPaddress172 16 1 0mappedIPrange10 0 1 0 10 0 1 255 DHCPoverIPSec FG外连的接口可以通过DHCP服务和DHCP中继服务DHCP服务器模式允许FG为远程通道客户端提供提供IP地址信息DHCP中继模式允许FG转发远程通道客户端的DHCP请求 只支持基于策略的VPN 通道模式 拨号客户端Internet浏览 一个缺省路由将所有流量发送进IPSecVPN通道 对通过VPN通道的流量进行内容扫描和访问控制基于策略的VPN配置策略 external to external ActionIPSecEnableInboundNATSourceAddressAllDestiNATionAddressdialupusers基于路由的VPN配置更加直观IPSec if External Accept NATenabled 14 与其他厂商产品的互操作性 证书 互操作之路 Fortinet是获得ICSALabs认证的IPSecVPN这就意味着FortiGate是 经过实际的互操作性测试的符合国际标准的可以访问HTTP 的IPSec证书中可以发现更多的信息访问FortiGate证书报告 20078月 在如下地址 HTTPS 与其他厂家配置VPN的提示 Phase1andPhase2settingsMakesureyouonlyhave1proposalforeachphaseandisthesameinbothends FortiGateandtheother MakesurethekeylifetimesarethesameMakesuresettingssuchasPFS MainvsAgressivemode etc ArethesameforbothendsPhase2QuickSelectorsTheymustmatchonbothends ThismaybesometimesdefinedontheVPNpolicyontheotherend orintheFirewalloraccesspolicyIfthisisnotsetcorrectly thebehaviorthatwillbeseenisthatVPNonlycommunicatesinonedirectinUsingInterfacemodeforVPNontheFortiGateshouldnotmakeanydifferencefortheresultsAnnouncement TheLatinAmericanSEteammadetestsagainstCheckPointNGXunderSecurePlatformNGXR61wasusedbutfindingsshouldbetrueformorerecentversionsFortiOSMR5patch2wasusedonFortiGateWhitepaperwillbepublishedsoon 知识库HTTP 这个站点是公开的有一个专题 是讨论IPSecVPN的互操作性的 可以发现很多有用的例子 链接如下 HTTP 与其他厂家配置VPN的提示 有用的工具 命令行命令Diagdebugapplicationike 请查看Xtreme的VPN报告 有关于这个命令的使用 VPN监控是非常有用的 菜单VPN IPSec Monitor下可以查看通道的状态 远程网关的IP地址等信息 15 FortiManager管理IPSecVPN VPN管理 FortiManager的一个功能 通过FortiManager所管理的FG设备 FM可以创建VPN VPN可以在FG设备之间建立 第三方厂家的设备也可以加入到配置中FortiManagerVPN管理 可以减少VPN配置的工作量 是配置变得容易 尤其是在有多个设备需要配置时 VPN管理工作主要有以下部分 创建IKE阶段1和阶段2的配置为VPN创建相关的防火墙策略这个文档中我们将介绍VPN是如何配置完成的 可以为大家将来配置VPN时提供参考 设备配置 FortiManager400 MR5build5512个被管理的FortiGateFortiGate60withMR5patch1 Build564 FortiWiFi60AwithMR5patch2 Build565 其他型号和Firmware版本的FG也可以管理记住 FM的firmware版本不能低于它所管理的FG的Firmware的版本 至少要相同 用FortiManager创建VPN的步骤 确认要配置的FG设备正在被当前的FM所管理 运行正常 确认在FM上 该FG没有未完成的配置 是同步的 创建Profiles