Fortinet防护墙IKEv1版本协议配置

本文主要讲述Site-to-Site的IPsecurity IKEv1协议的配置以及注意事项。此网络结构又称为网络到网络的IPSecurity,两个网关彼此建立IPSecurity通道,将网关背后的内部网络通过IPSecurity通道安全的连接起来。

 

防火墙1的配置

 

1)打开虚拟专用网络->IPSec->IKE网页,创建IPSecurity的阶段一,远程网关地址选择防火墙2的地址,模式选择主模式。如下:

名称              ipsec_p1 
远程网关      Static IP address IP
地址              172.20.120.120
本地接口      port1 
模式              Main(ID protection) 
认证方式      Preshared key 
预共享密钥 123456

创建IPSec阶段2,管理刚创建的阶段一:

名称        ipsec_p2 
阶段1      ipsec_p1

阶段一与阶段二的加密和验证参数采用系统默认即可。

2)定义需要进行IPSecurity加密的数据流,即10.10.1.0/24与92.168.1.0/24直接的数据流。进入Firewall Objects> 地址 页面,新建两个地址,注意选择IP地址对应的正确接口:

名称               firewall_1_net 
类型               Subnet/IP范围 
子网/IP范围  10.10.1.0/255.255.255.0 
接口               port2

名称               firewall_2_net 
类型               Subnet/IP范围 
子网/IP范围  192.168.1.0/255.255.255.0 
接口               port1


3)进入 Policy> 策略 页面。指定IPSecurity策略:

源接口/区域      port2 
源地址               firewall_1_net 
目标接口/区域  port1 
目标地址           firewall_2_net 
时间表               Always 
服务                   ANY 
动作                   IPSEC VPN
通道                   ipsec_p1

解释如下:由port2接口进入防火墙1的源IP地址属于firewall_1_net网段(10.10.1.0/24)的流量,在其从port1接口发出到目的地为firewall_2_net网段(192.168.1.0/24)时,进入ipsec_p1创建的IPSecurity隧道。

 

防火墙2的配置

 

防火墙2的配置与防火墙1基本相同,仅需要将涉及到的IP地址更换为拓扑中防火墙2相关IP。不在累述。

 

注意事项

 

此时整个配置基本完成,IPSecurity隧道已经建立起来。但经过测试,两边的网络不通。原因如下:对于防火墙1来说,目的地址为192.168.1.0/24网段的数据包在进入防火墙之后,并不能匹配我们创建的IPSecurity策略,也就不能通过IPSecurity隧道。因为防火墙在转发节点(FORWARD)上,即port2->port1时,做策略匹配。而在这之前(PRE_ROUTING HOOK点之后),防火墙会查找路由来确定数据包的出口,没有到192.168.1.0/24网络的路由,数据包被丢弃。

在防火墙1增加一条路由解决此问题,即到192.168.1.0/24的出接口为port1。

 

 

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页