隧道篇&IPsec ❀ (5.2) 02. IPSec - FortiClient 客户端 ❀ 飞塔 Fortinet

        【简介】IPSec即指采用IPSec协议来实现远程接入的一种技术，IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务。

  IPSec的作用

        作为一项成熟的技术，广泛应用于组织总部和分支机构之间的组网互联，其利用组织已有的互联网出口，虚拟出一条“专线”，将组织的分支机构和总部连接起来，组成一个大的局域网。　　

        IPsec通常是由防火墙与防火墙之间建立连接，但也可以通过远程的客户端与防火墙建立IPsec连接。

  环境介绍

        测试环境是使用飞塔 FortiGate 90D 防火墙。

        测试目地：建立IPsec，通过客户端连接后可以远程访问internal2接口下的10.0.2.88电脑。

  准备工作

        首先需要设定internal2接口的IP地址网段，然后建立具有访问权限的用户及用户组。

        ① 建立被访问的internal2接口的IP地址；

        ② 建立用来登录IPsec的用户；

        ③ 建立用户组，将新建的用户加入组内。

  配置 IPsec

        准备工作做好后，就可以开始设置防火墙上的 IPsec了。

        ① 选择菜单【虚拟专网】－【IPsec】－【隧道】，点击【Create New】新建隧道；

        ② 输入新建的隧道名称，选择【拨号－FortiClient】模板；

        ③ 流入接口选择宽带接口，预共享密钥自定义（客户端建立连接时也要输入相同的共享密钥），用户组选择刚刚建立的client-user组，这样只有这个组的成员才可以使用这个隧道；

        ④ 本地接口选择需要通过隧道访问的接口，这里选择的是10.0.2.0网段的internal2接口，客户端地址范围，是拨号端拨号成功后分的IP地址，地址范围不要和双方内网地址范围相同，DNS默认使用系统DNS，启动IPv4分割隧道必选，访问可达网络选择10.0.2.0网段；

        ⑤ 自动连接和永远在线建议选择打钩；

        ⑥ 就建立成功了，除了建立了阶段１和阶段２外，还建立了一个To-Client_range地址，内容就是拨号后自动分配的IP地址范围，设置策略的时候会用上。

  修改 IPsec设置

        配置完成 IPsec后，因为是利用模板建立的，我们需要再进行修改，以符合实际需求。

        ① 选择刚建立的隧道进行编辑，将模板建立的IPsec转换为自定义隧道；

        ② 修改阶段１的加密选项，只保留两行（因为FortiClient里的IPsec VPN设置选项里也只有两行），选择Diffie-Hellman组，这两项内容可以自定义，FortiClient客户端的设置必须与此相同；

        ③ 同样修改阶段２的加密选项与Diffie-Hellman组项，FortiClient客户端的设置必须与此相同，其它都保留默认，不需要修改。

  IPsec 策略

        建立IPsec隧道后，需要制定策略允许隧道之间的访问。

        ① 选择菜单【策略&对象】－【策略】－【IPv4】，点击【Create New】新建策略；

        ② 首先建立允许通过隧道访问内网的策略；

        ③ 然后建立允许内网访问拨号方的策略（如果是单向访问，这条策略可以不建）；

        ④ 最后建立允许多个拨号互相访问的策略（不需要拨号方之间互相访问的此条策略可以不建）；

        ⑤ 将新建的策略移动最高，优先执行，可以看到To-Client_range内容是建立IPsec VPN时输入的客户端地址范围。

  FortiClient 客户端设置

        首先在远程电脑上安装FortiClient客户端，下载及安装过程参考相应文档。

        ① 启动FortiClient客户端，点击【配置】；

        ② 首先选择【IPsec】，然后输入连接名，远程网关则填写对方的IP地址，输入共享密钥（和设置IPsec时的共享密钥一致），点击【高级设置】；

        ③ 修改第一阶段的加密及DH组，与IPsec设置的相同；

        ④ 修改第二阶段的加密及DH组，与IPsec设置的相同，点击【应用】就设置完成了；

  FortiClient 客户端连接

        客户端设置完成后就可以连接远程的 IPsec了。

        ① 启动FortiClient客户端，输入用户名称密码（用户名和密码在设置IPsec VPN前在防火墙上建立，加入了Client-User用户组），点击【连接】；

        ② 稍等片刻连接成功，在屏幕的右下角出现FortiClient小图标，鼠标停留在上面可以看到连接提示；

        ③ 双击屏幕右下角的FortiClient小图标，弹出窗口，显示IPsec连接成功，并显示连接时间及接收发送字节等信息；

        ④ 查看本地的IP地址，可以看到多了一个本地连接，IP地址也是在设置IPsec时客户端地址范围内，没有网关；

        ⑤ ping防火墙内网internal2接口地址，以及接口下的电脑的IP地址，都可以ping通，说明IPsec建立成功；

        ⑥ 再看防火墙上的IPsec设置，显示有1个拨号连接了防火墙；

        ⑦ IPsec 监视器也可以看到IPsec状态是启动的，并有流入数据。

  通过 IPsec连接互联网

        IPsec连接成功后只能访问指定的内网，如果需要通过IPsec访问外网的话，还需要做下面设置：

        ① 修改IPsec隧道，默认的使用系统DNS取消，输入当然外网的DNS服务器地址，访问可达网络原来设置的是内网地址，这里改为所有；

        ② 新建一条策略，允许通过隧道访问外网，这里要加上client-user用户组；

　

        ③ 同样将策略排在上面，优先执行；

        ④ 再次连接成功后，可以看到以前是没有网关的，现在有网关了，并且DNS的地址也被指定了；

        ⑤ 客户端上打开浏览器上网的时候，会出现飞塔的验证提示，输入用户名和密码后，就可以上网了；

        ⑥ 上网的时候，接收和发送字节数都会变动，说明是通过在上网；

        ⑦ 同样可以访问防火墙internal2接口下的内网电脑，一点不受影响。

塔技术-老梅子   QQ：57389522