0


实验篇(7.2) 16. 站对站安全隧道 - 通过聚合隧道走对方上网(FortiGate-IPsec) ❀ 远程访问

  【简介】前面所有实验基本上是由向导来完成的,只有隧道聚合实验是手动设置的。那么远程访问经常用到的走对方宽带上网功能,需要怎样手动配置呢?


实验要求与环境

  OldMei集团深圳总部防火墙现在有三条宽带了,二条普通宽带用来上网及连接IPsec VPN,另一条MPLS专线用来访问指定网站。

  OldMei集团上海分公司也有两条宽带,已经和深圳总部防火墙建立了两条IPsec VPN。为了充分利用两条IPsec VPN,创建了隧道聚合。要求上海分公司也可以通过深圳总部MPLS专线访问指定网站。

  解决方案:对上海分公司访问流量进行分流,普通上网仍然走本地宽带,特殊访问走聚合隧道。这个通过策略路由来实现。深圳总部允许隧道流量走MPLS专线。也是由策略路由来实现。

  实验目标:笔记本电脑网卡连接上海分公司internal接口,可以通过聚合隧道访问深圳服务器,还可以通过深圳MPLS专线访问指定网站。

深圳总部防火墙配置

  要想通过隧道走对端防火墙宽带上网,对端必须具备三个条件。

  ① 首先是IPsec VPN隧道的阶段2,有上网宽带那端不能做限制。登录深圳防火墙,选择菜单【VPN】-【IPsec隧道】,点开聚隧道,编辑第一条隧道。

  ② 手动创建IPsec VPN隧道时,默认本地地址和对端地址均为0.0.0.0/0.0.0.0,这样所有流量都可以走隧道。满足第一个条件。

  ③ 第二个条件是要有允许隧道访问宽带的策略。选择菜单【策略&对象】-【防火墙策略】,点击【新建】。

  ④ 创建一条普通的上网策略,只是流入接口为隧道聚合而已,上网策略要启用NAT。

  ⑤ 这样隧道聚合口即可以走DMZ接口访问服务器,也可以走wan2接口通过MPLS专线访问指定网站。第二个条件具备了。

  ⑥ 第三个要具备的条件,那就是路由了。选择菜单【仪表板】-【网络】,点击【路由】。

  ⑦ 路由表上有三条默认路由,管理距离都为10,所以三条宽带都可以同时使用。优先级MPLS专线为5,数字越小越优先,因此,正常情况下,所有流量走都优先级为1的wan1口出去了。那么我们要让隧道聚合流量走MPLS专线出去,要怎么办?

  ⑧ 这就要用到比静态路由更优先的策略路由了。但是默认情况下菜单上并没有策略路由选项。

  ⑨ 选择菜单【系统管理】-【可见功能】,启用【高级路由】后,点击【应用】。

  ⑩ 刷新一下界面,在静态路由下就出现策略路由菜单了。选择【策略路由】,点击【新建】。

  ⑪ 策略路由设置有点象配置策略,又有点象配置路由,当然还是比较好理解的,这条策略路由是说SZ-SH接口的所有IP,访问所有内容(也就上网),指定走MPLS专线出去,下一跳网关是172.16.188.1。

  ⑫ 大家一定要记住这一点,策略路由优先于静态路由,只有策略路由不匹配了,才会到静态路由中去查找。

  ⑬ 另外在我们经常查看的路由小视窗里,通过右上角选择【策略路由】,也可以看到策略路由表。

上海公司防火墙配置

  要想通过隧道走对端防火墙宽带上网,本端也同样必须具备三个条件。

  ① 首先是隧道阶段2对端地址不能有限制。这条已经具备。

  ② 然后是要有流量走隧道的策略,并且目标地址不能限制,这条也已经具备。

  ③ 第三个条件,就是路由了,目前只有一条指定IP走隧道的路由。缺少所有流量走隧道的路由。

  ④ 我们也创建一条所有流量走隧道的策略路由,但是网关地址应该填什么呢?

  ⑤ 我们已经知道,策略路由是优先于静态路由的,这样internal接口的所有流量都走隧道了。

验证效果

  两端都具备通行条件,我们可以进行测试了。

  ① 笔记本电脑关闭所有无线,网线接上海防火墙internal接口。

  ② ping深圳防火墙DMZ接口后的域服务器,没有ping通,创建隧道聚首的时候都是通的。问题出在哪里?

  ③ 用tracert查一下路由,发现有一个地址172.16.188.1,这是深圳防火墙MPLS专线的下一跳地址,说明流量走MPLS出去了。有人知道这是为什么吗?对了,就是深圳防火墙的那条全部走MPLS专线的策略路由在起作用。

  ④ 解决的办法就是在深圳防火墙再创建一条策略路由,访问10.10.10.0/24网段时,动作为【停目策略路由】,这样就不再走策略路由,而是回到静态路由。

  ⑤ 策略路由也是从上向下匹配的,鼠标按住序号,可以拖动调整上下顺序,将停止策略路由拖到最上方,优先匹配。

  ⑥ 再次ping域服务器,这次可以通了,查看路由走向,这次没有再走MPLS专线。

  ⑦ 再次访问公网IP,都不通,流量走wan1口,说明策略路由没有起效果,问题的关键就在于隧道的网关地址。

  ⑧ 为了解决这个问题,我们必须给聚合隧道配置上IP地址。登录深圳防火墙,选择菜单【网络】-【接口】,找到IPsec聚合接口,可以看到是没有IP地址的。点击【编辑】。

  ⑨ 给IPsec聚合接口配置一个不会引起冲突的IP地址。这里用1.1.1.1,对端网关IP用1.1.1.2。

  ⑩ 这样深圳防火墙的IPsec聚合接口就有IP地址了。

  ⑪ 同样登录上海防火墙,给上海防火墙的IPsec聚合接口配置IP地址。

  ⑫ 上海防火墙的IPsec聚合接口IP设置为1.1.1.2,对端网关为1.1.1.1。

  ⑬ 这样IPsec隧道的两端都有IP地址了。

  ⑭ 将上海防火墙的策略路由,最下面隧道接口的网关地址,由0.0.0.0改为1.1.1.1,指向深圳防火墙隧道IP。点击【应用】。

  ⑮ 同次ping公网IP,这下全通了,查看路由,可以看到是经隧道后走深圳防火墙MPLS专线上网的。

优化上网分流

  虽然现在能走隧道上网,但是所有流量都走隧道,会给隧道带来很大压力,我们可以将部分不需要走隧道的上网流量(例如访问国内网站),仍然走本地宽带上网。

  ① 区分IP属于哪个区域,Fortinet还是有办法的。选择菜单【策略&对象】-【地址】,点击【新建】-【地址】。

  ② 输入名称,类型选择【地理】。

  ③ 输入名称,类型选择【地理】。

  ④ 颜色选择红色。

  ⑤ 这样就创建了一条地理地址对象。

  ⑥ 再次创建一条策略路由,目标地址为新创建的China地理对象,流出接口选择本地上网宽带wan1,输入wan1的网关地址。

  ⑦ 策略路由是从上往下匹配的,我们将目标地址为China地理对象的策略路由移到最上方,移动方法是鼠标按住序号,拖动即可。这样再次上网时,如果访问的是内网IP,会走wan1口上网,其它IP则走隧道到达深圳防火墙,再经深圳的MPLS专线上网。



本文转载自: https://blog.csdn.net/meigang2012/article/details/131257090
版权归原作者 飞塔老梅子 所有, 如有侵权,请联系我们删除。

“实验篇(7.2) 16. 站对站安全隧道 - 通过聚合隧道走对方上网(FortiGate-IPsec) ❀ 远程访问”的评论:

还没有评论