隧道篇&IPsec ❀ (5.6) 05. 向导快速建立点对多IPsec ❀ 飞塔 Fortinet

        【简介】前面我们已经会用向导建立点对点的IPSec了，点对多的IPsec又是怎么回事呢？

  点对多 VPN

        如果一家企业有多家分公司，总部需要和分公司建立IPsec VPN连接，理论上来说有多少家分公司，总部就要建立多少条点对点的连接。

        我们已经知道，建立一条点对点的IPsec VPN，就会产生一条路由，二条策略。如果有20个分公司，那就需要建立20条路由、40条策略。这将会是很大的一个维护量。

        那有没有解决办法呢？办法是有的，那就是建立星状网络，所有的分公司都拨入总部，总部只需要配置一个IPsec设置就可以了。

        本博主有一篇文章是介绍星状态网络手动建立的，这里我们用更简单的向导来完成。介绍一下实验环境：

        FortiGate 60E:      外网接口 Wan1    拨入方     内网接口 Internal    内网地址 192.168.28.0

        FortiGate 100D:   外网接口 Wan1    接收方    外网地址 183.17.227.57    内网接口 Port2    内网地址 172.18.2.0

        FortiGate 200D:   外网接口 Wan1    拨入方    内网接口 Port2    内网地址 172.8.1.0

  总部 100D

        这里我们将飞塔防火墙FortiGate100D作为总部，接受60E和200D的拨入。

        ① 登录FortiGate 100D防火墙，选择菜单【虚拟专网】-【IPsec向导】，输入一个用户名，由于是接受远程拨入，所以选择〖远端站点在NAT后端〗，为什么是接受远程拨入，而不是指定对方IP地址，这是因为对方有可能无法远程访问，还有就是一对多的时候，没办法输入多个IP地址。点击【下一个】。

        ② 流入接口，选择防火墙的宽带接口，输入自定义的预共享密钥，点击【下一个】。

        ③ 本地接口，选择允许访问的内网接口，本地子网，可以严格控制允许访问的网段，也可以开放访问所有地址。远端子网，由于不知道拨入方的内网地址，这里也全部开放。点击【完成】。

        ④ IPsec配置完成，新建了接口、地址组、来回策略，但是没有建立路由，这是因为在这种方式下的IPsec，象ADSL拨号宽带一样，路由是连接后才产生的。

  分部 60E

        用同样的方法，我们在60E上用向导建立IPsec。

        ① 这次登录的是FortiGate 60E防火墙，选择菜单【虚拟专网】-【IPsec向导】，输入用户名，选择〖这个站点在NAT后端〗，即使连接的宽带是可远程访问的，也不是在NAT后端，因为我们要用它拨号的总部，所以得选这个。点击【下一个】。

        ② 我们有两种方法连接到总部，ForotiGate 60E防火墙选择动态域名，输入DDNS域名地址，会自动解析到对应的IP地址。流出接口因为只有一根宽带，所以也会自动选上，5.6版的系统人性化了很多。输入预共享密钥（与100D相同）。点击【下一个】。

        ③ 选择本地接口，也就是连接电脑的内网接口，会自动显示接口的IP地址网段，再手动输入需要远程访问对方的哪个网段，点击【完成】。

        ④ 显示已经建好了，可以看到和总部100D的不同的是，有建立静态路帐和黑洞路由。

        ⑤ 选择菜单【监视器】-【IPsec 监视器】，我们可以看到IPsec 隧道的状态默认是停用，选择隧道，鼠标点击右键，选择【启用】。

        ⑥ 隧道状态出现蓝色向上箭头图标，表示隧道已经连接。

        ⑦ 在防火墙的CLI命令状态下，输入上面两条命令，第一条是指定源地址为防火墙内网接口地址，第二条是Ping远程防火墙内网地址，能Ping通，说明两台防火墙的内网接口可以互相访问，隧道是通的。

  分部 200D

        现在证实60E可以和100D建立连接了，但这充其量也只是点对对，还不是点对多，那么我们再加入200D试试。

        ① 这次登录的是FortiGate 200D防火墙，选择菜单【虚拟专网】-【IPsec向导】，输入用户名，选择〖这个站点在NAT后端〗，点击【下一个】。

        ② 这次选择直接输入总部100D的外网IP地址，主要是证明不管总部的宽带是ADSL拨号还是固件IP宽带，都可以使用这种方式建立星状网络。自动显示流出接口，输入预共享密钥（与100D、60E相同）。点击【下一个】。

        ③ 选择内网接口，自动显示内网接口的IP地址网段，输入需要访问的远程总部的内网网段，点击【完成】。细心的同学会发现这里的输入好象和60E不同，这是因为200D的系统是5.4版本，60E的系统是5.6版本，5.6版本可以输入多个地址网段，也可以使用地址对象。还是5.6版好吧！

        ④ 5.4版的向导建立的，也有静态路由、来回策略、地址组，但是没有黑洞路由，5.6版的多了黑洞路由。

        ⑤ 选择菜单【监视器】-【IPsec 监视器】，我们可以看到IPsec 隧道的状态默认是停用，选择隧道，鼠标点击右键，选择【启用】。

        ⑥ 隧道状态出现蓝色向上箭头图标，表示隧道已经连接。

        ⑦ 在防火墙的CLI命令状态下，输入上面两条命令，第一条是指定源地址为防火墙内网接口地址，第二条是Ping远程防火墙内网地址，能Ping通，说明两台防火墙的内网接口可以互相访问，VPN隧道是通的。

  验证 VPN

        现在60E可以连接100D了，200D也可以连接100D了，也就是形成了点对多的星状网络，我们再看看100D的情况。

        ① 登录总部的FortiGate 100D防火墙，在菜单选择【监视器】-【IPsec 监视器】，可以看到有两条隧道是工作的，另外属于不同的网关。

        ② 在菜单选择【网络】-【静态路由】，可以并没有建立任何静态路由。因为是ADSL拨号宽带，也不用建立静态路由，自动生成的。

        ③ 在菜单选择【监视器】-【路由监控表】，可以看到两条指向隧道的静态路由，也就是自动生成的回程路由。

        ④ 前面我们只测试了三台防火墙的内网接口可以通过互联。再试试接口下的电脑能不能互访问。电脑接在60E下，IP地址是192.168.28.33。

        ⑤ Ping总部100D的内网接口，以及内网接口下的电脑的IP地址，都可以Ping通，说明隧道是OK的。

  【提示】星状网格，总部只要配置一次，可以随时增加分部连接，总部不用再改配置，而且生成的策略和路由都很少，推荐使用。

飞塔技术 - 老梅子   QQ：57389522