kl800.com省心范文网

FortiGate防火墙vpn设置

FortiGate 防火墙的 LAN TO LAN 型式的 VPN 设置方法 服务器端的设置
首先在服务器端定义客户端的私网网段,依次选择主页面左侧菜单中的“防火墙”?“地 址”,在地址栏页面中点击“新建”按钮,在地址名称中写入自定义的名称,在 IP 地址栏里 填入对方的私网网段和掩码,如下图:
下面建立一个提供远程接入的 VPN 通道,依次选择菜单中的“虚拟专网”?“IPSec”, 先选择阶段 1,点击“新建”按钮新建一个 VPN 网关,在网关名称中任意填写一个自定义 的名字,远程网关中选择“连接用户”,点击“野蛮模式”,在预共享密钥里填入自定义的认 证码(两端设置要相同),在接受此对等体 ID 里填入自定义的 ID 名字(两端设置要相同), 在加密算法里选择“DES”、认证选择“MD5”,点击下面一行的“减号”,DH 组只选择“1” 即可,密钥周期如有改动要确保两端设置相同。如下图所示:
接下来新建一个通道,点击此页面中的“阶段 2”标签,在通道名称里任意填写一个名

字,远程网关里选择在阶段一里建立的网关名称,点击“高级选项”进行高级设置,在阶段 2 交互方案中选择 DES 加密算法和 MD5 认证算法,点击下面一行的“减号”,取消“启用 数据重演检测”和“启用完全转发安全性”选项,密钥周期如有改动需保证两端相同,确保 保持存活选项的状态为启用,快速模式鉴别选项选择“在策略中选择”。如下图所示:
建立一条从内网通向上面定义的对方网段的加密策略,并移动该策略到所有策略的首 位置,依次选择菜单中的“防火墙”?“策略”,点击“新建”按钮,接中区选择从“internal” 到“wan1”,地址名选择内部网络地址池到上面建好的对端地址池,模式选“ENCRYPT”, VPN 通道选择在阶段二中建立的通道名。

客户端的设置 客户端的设置与服务器端基本相同,首先在客户端定义服务器端的私网网段,依次选择
主页面左侧菜单中的“防火墙”?“地址”,在地址栏页面中点击“新建”按钮,在地址名 称中写入自定义的名称,在 IP 地址栏里填入对方的私网网段和掩码,及本地的私网网段和
掩码如下图:

下面建立一个提供远程接入的 VPN 通道,依次选择菜单中的“虚拟专网”?“IPSec”, 选择阶段 1,点击“新建”按钮新建一个 VPN 网关,在网关名称中任意填写一个自定义的 名字,远程网关中选择“静态 IP 地址”,在 IP 地址栏里填写对端的公网 IP,点击“野蛮模 式”,在预共享密钥里填入自定义的认证码(两端设置要相同),点击“高级选项”,在加密
算法里选择“DES”、认证选择“MD5”,点击下面一行的“减号”,DH 组只选择“1”即可, 在本地 ID 里输入自定义的 ID 名称(与对端接受的 ID 名称设置要相同),密钥周期如有改 动要确保两端设置相同。如下图所示:
接下来点击此页面中的“阶段 2”标签,在通道名称里任意填写一个名字,远程网关里 选择在阶段一里建立的网关名称,点击“高级选项”进行高级设置,在阶段 2 交互方案中选 择 DES 加密算法和 MD5 认证算法,点击下面一行的“减号”,取消“启用数据重演检测” 和“启用完全转发安全性”选项,密钥周期如有改动需保证两端相同,选择保持存活选项的 状态为启用,快速模式鉴别选项选择“在策略中选择”。如下图所示:

建立一条从内网通向上面定义的对方网段的加密策略,并移动该策略到所有策略的首 位置,依次选择菜单中的“防火墙”?“策略”,点击“新建”按钮,接中区选择从“internal” 到“wan1”,地址名选择内部网络地址池到上面建好的对端地址池,模式选“ENCRYPT”, VPN 通道选择在阶段二中建立的通道名。

注:LAN TO LAN 形式的 VPN 设置中,两端有很多配置必需一致,否则不能连接成功,比 如共享密钥,对等体 ID,密钥周期等信息。

FortiGate 防火墙的 PC TO LAN 型式的 VPN 设置方法 第一步:建立用户帐号信息
依次选择“设置用户”?“本地”,点击“新建”按钮,在用户名称栏里填写自定义的 名字,然后在“输入密码”栏里输入密码,点击“OK”按钮。根据需要可重复上面步骤添
加多个用户。如下图所示: 第二步:定义用户组
点击菜单中的“用户组”,在“组名”中任意填写一个名字,在“可用的成员”中选择

刚刚建立的用户,然后点击添加用户的箭头。如下图所示: 第三步:启用 PPTP
依次选择“虚拟专网”?“PPTP”,在此页面中选择“启用 PPTP”,在“起始 IP”和“终 止 IP”栏里分别填写要分配的起始地址和终止地址,用户组栏里选择刚刚建立的用户组,
点击“应用”按钮。如下图所示: 第四步:定义外部的虚拟 IP 地址
依次选择“防火墙”?“地址”,点击“新建”按钮,在地址栏里任意填写一个名称, “IP 地址范围/子网掩码”里填写要分配给远程 PC 的虚拟 IP 地址或网段。如下图所示:
第五步:建立允许远程 PC 拨入的策略

依次选择“防火墙”?“策略”,点击“新建”按钮,接口区中的“源”选择“WAN1”, “目的”选择“internal”,地址名中的“源”选择刚刚建立的地址名称,“目的”选择“all”,
模式使用默认的“ACCEPT”即可,点击“OK”按钮完成配置。如下图所示: 在客户端的设置中,只需填入接入端的公网 IP 以及用户名和密码即可。具体操作步骤
如下: 在 WINDOWS 里的“开始”菜单中依次选择“设置”?“网络和拨号连接”,在“网络
和拨号连接”中双击“新建连接”启动“网络连接向导”,如下图所示:

按提示点击“下一步”,选择“通过 Internet 连接到专用网络”。
再点击“下一步”选择“不拨初始连接”,点击“下一步”,在主机名或 IP 地址中填入服务 端的公网 IP 地址。

下面的步骤按默认点击“下一步”,最后点击“完成”即可。
双击运行刚刚建立的“虚拟专用连接”输入在服务端建立的“用户名”和“密码”信息,确 认填写正确后点击“连接”即可进行 PC TO LAN 的 VPN 连接了。

FortinetClinet 设置方法 服务端请参考 LAN TO LAN 的设置方法,只是在建立策略时有些不同,需建立一条从 内部到外部的加密策略,源地址选内网所有地址,目的地址选“ALL”所有地址,模式选择 “加密通道”,如下图所示:
下面介绍有关 FORTICLIENT 的设置方法:

1, 打开 FortinetClinet 后,点击增加,会出现一个新建连接,连接名随意起一个,远程网关 为 Fortinet 防火墙的外网 IP,远程网络地址为内网 IP 和子网掩码。共享密钥 2 边设置为 一样既可。(现设为 123456)然后点击高级,进行下一步设置。

2, 模式设置为野蛮模式,DH 组选 1,本地 ID 两边必须一致(现设置为 shhuagai),加密设 置为默认的 DES,MD5 既可。然后,在高级选项中把回放攻击探测和 NAT 穿透 2 个选项 的钩去掉,把自动重建秘钥的钩选上,然后后电击确定就完成了全部设置。
3,全部设置完后,点击连接,回出现一个协商表,显示协商成功表示连接成功,这样,就 完成一个 IPSEC 的 VPN 连接。