【简介】上一篇实验发现,两端都是可以远程的公网IP的话,两端防火墙都可以发出连接请求,并且都能够连通。这样的好处是安全隧道不用随时在线,只在有需求时才由发起方进行连接。但是现实中很多情况下只有一端公网IP可以远程,那么还能用IPsec安全隧道吗?

  实验要求与环境

  OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。

  OldMei集团上海分公司需要实时访问深圳总部的域服务器和ERP服务器,要求访问便捷,并且安全性要高。上海分公司使用的是ADSL拨号宽带,拨号得到的IP地址经常会变更,并且IP地址无法在公网中被访问。

  解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,创建VPN隧道后,两地互相访问如同在同一个局域网内,十分便捷。另外由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。由于上海分公司公网IP无法访问,因此只能由上海分公司防火墙拨号至深圳总部防火墙,单向发起连接,并保持安全隧道一直在线。

  实验目标:笔记本电脑通过网卡上网,可以从上海分公司访问深圳总部的域服务器远程桌面。

 实验前的准备工作

  实验前需要删除前期用向导创建的内容。

  ① 首先登录模拟互联网的FortiWiFi 60D防火墙。

  ② 前面的实验中,我们创建了两条策略,允许双边的的宽带接口互相访问。现在我们需要禁用深圳到上海的访问策略。保留上海到深圳的访问策略,这样就模拟出深圳公网IP可以远程访问,而上海公网IP不能远程访问的环境了。

  ③ 关闭笔记本无线,有线通过上海防火墙internal接口,仍然可以访问深圳防火墙wan1口。登录深圳防火墙,选择菜单【VPN】-【IPsec隧道】,找到隧道,点击最右边的关联项数字。

  ④ 逐一删除关联项,全部删干净。

  ⑤ 只有关联项数字为0时,隧道才可以被删除。

  ⑥ 还需要删除漏网之鱼,选择菜单【网络】-【静态路由】,删除接口为黑洞的路由。

  ⑦ 选择菜单【策略&对象】-【地址】,删除向导自动创建的地址对象和地址组,记住要先删除地址组,然后再删除地址对象。

  ⑧ 地址组或地址对象有多个的,可以选择多个,一次性删除。完成深圳总部防火墙的隧道删删除后,再在上海分公司防火墙上完成相同的动作。

 配置深圳总部防火墙

  首先配置深圳总部防火墙。

  ① 登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

  ② 输入名称,由于已经删除以前创建的隧道,我们就可以再用相同的名字创建隧道。模板类型默认【站到站】,NAT配置这次选择【远端站点在NAT后端】,这是因为上海防火墙宽带IP无法远程。还有一种情况,如果上海防火墙wan口接入的是路由器,也是选择这一项。点击【下一步】。

  ③ 流入接口选择拨入的宽带口,输入自定义的预共享密钥,两端要求一致。点击【下一步】。

  ④ 实验的要求是从上海防火墙的internal接口接入的电脑能访问深圳防火墙DMZ接口下的服务器,所以这里输入正确的接口和本地子网、远端子网,点击【下一步】。

  ⑤ 由于这次深圳防火墙配置的是接入方,而不是拨出方,因此向导没有生成路由。点击【完成】。

  ⑥ VPN创建完成,点击【显示隧道列表】。

  ⑦ 向导创建了IPsec隧道。

  ⑧ 向导创建了来回访问的两条策略。

  ⑨ 向导创建了地址组和地址对象。

  ⑩ 由于深圳防火墙是接入方,向导没有创建路由。有人要问了,VPN隧道连通后,深圳要访问上海的话没有路由怎么办?别急,后面会讲到。

 配置上海分公司防火墙

  下面我们来配置上海分公司防火墙。

  ① 登录上海分公司防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

  ② 输入隧道名称,由于已经删除以前创建的隧道,我们就可以再用相同的名字创建隧道。模板类型默认【站到站】,NAT配置这次选择【这个站点在NAT后端】,这是因为上海防火墙宽带IP无法远程。点击【下一步】。

  ③ 远程IP地址填写深圳总部防火墙wan1接口IP,流入接口选择拨出的宽带接口,输入自定义的预共享密钥,和深圳防火墙保持一致。点击【下一步】。

  ④ 实验的要求是从上海防火墙的internal接口接入的电脑能访问深圳防火墙DMZ接口下的服务器,所以这里输入正确的接口和本地子网、远端子网,点击【下一步】。

  ⑤ 由于这次上海防火墙配置的是拨出方,因此向导会创建静态路由。点击【完成】。

  ⑥ VPN创建完成,点击【显示隧道列表】。

  ⑦ 向导创建了IPsec隧道。隧道的状态为【不活跃】。

 验证效果

  虽然两端防火墙都已经用向导配置好了IPsec VPN,但是并不会自动连接,需要手动操作。

  ① 在上海分公司防火墙选择菜单【仪表板】-【网络】,点击【IPsec】展开到全屏。

  ② 隧道阶段1显示绿色向上箭头,表示连通。选择【启用】-【阶段2选择器:SH-SZ】。

  ③ 隧道出现绿色向上箭头提示,表示隧道连通。

  ④ 笔记本电脑目前状态是关闭了无线,有线接上海分公司防火墙internal接口,自动获取IP。Ping远程桌面服务器,可以ping通,查看路由走向,也是先到上海防火墙,再到深圳防火墙。实验取得成功。

 保持隧道一直在线

  每次都要手动操作启用隧道比较麻烦,那能不能自动启用并一直保持隧道是连通状态呢?

  ① 在上海防火墙选择菜单【VPN】-【IPsec隧道】,可以看到隧道状态是【已连接】,选择隧道,点击【编辑】。

  ② 点击【转换为自定义隧道】。

  ③ 点击阶段2选择器框内的笔图标。

  ④ 点击【高级】,弹开内容。

  ⑤ 启用【自动协商】,【自动密钥保持存活】也会自动钩选。自动协商会使隧道一直保持在连通状态。【点击】确认。

  ⑥ 再次回到仪表板下的网络界面,打开IPsec小部件,选择连通状态下的隧道,点击【断开】-【Entire Tunnel】。

  ⑦ 隧道一直保持在连通状态,即使有短暂的断开,又会自动重新连接上。

 路由的疑惑

  上海防火墙IPsec隧道生成时有创建路由,因此可以从上海访问深圳,但是深圳防火墙创建隧道时没有创建路由,那要怎样才能从深圳访问上海呢?

  ① 登录深圳总部防火墙,选择菜单【仪表板】-【网络】,点击【路由】。

  ② IPsec隧道连接成功后,自动在被拨入方创建了一条静态路由。当隧道断开时,这条路由也就不存在了。

  ③ 因为有了这条路由的存在,深圳总部防火墙DMZ接口也就可以访问上海分公司防火墙的internal接口了。

实验篇(7.2) 12. 站对站安全隧道 - 仅一方发起连接(FortiGate-IPsec) ❀ 远程访问相关推荐

  1. 实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问

    [简介]前面我们实验的是FortiClient客户端与防火墙进行VPN连接,现在我们要做的实验是防火墙与防火墙之间进行VPN连接.现在我们来看看两台防火墙之间要怎样创建VPN连接.   实验要求与环境 ...

  2. 【接口篇 / Lan】(5.6) ❀ 05. 与思科交换机三层链路聚合连接 ❀ FortiGate 防火墙

    [简介]在很多实际应用环境中,因为接口的速率问题,数据访问量大的时候会出现瓶颈.像飞塔防火墙大部分是千兆接口,有没有在不增加投入(换万网兆纤口)的情况下,解决这个问题呢?   网络拓扑 在很多企业的网 ...

  3. 【接口篇 / Lan】(5.6) ❀ 03. 透明模式下的链路聚合连接 ❀ FortiGate 防火墙

    [简介]我们已经知道,在透明模式下,防火墙的接口都是没有IP地址的,那么他们还可以建立链路聚合吗?   网络拓扑 在某些企业,由于内网比较复杂,新加入的防火墙不希望对内网进行任何改动,因此可以选项将防 ...

  4. 实验篇(7.2) 16. 站对站安全隧道 - 通过聚合隧道走对方上网(FortiGate-IPsec) ❀ 远程访问

    [简介]前面所有实验基本上是由向导来完成的,只有隧道聚合实验是手动设置的.那么远程访问经常用到的走对方宽带上网功能,需要怎样手动配置呢?   实验要求与环境 OldMei集团深圳总部防火墙现在有三条宽 ...

  5. 【微信小程序控制硬件 第13篇】安信可B站直播学习总结,微信小程序MQTT远程控制ESP8266 NodeMCU,谈谈微信生态那些事;

    [微信小程序控制硬件第1篇 ] 全网首发,借助 emq 消息服务器带你如何搭建微信小程序的mqtt服务器,轻松控制智能硬件! [微信小程序控制硬件第2篇 ] 开始微信小程序之旅,导入小程序Mqtt客户 ...

  6. 微吼12年,站在企业直播中心

    从吹号人到引路人,从无声的专注专一到绽放价值,这是企业直播的价值,也更是微吼的价值. 作者|皮爷 出品|产业家 0.3. 林彦廷给了我们一个数字,这是2012.2013年前后平均每天的直播量.他是微吼 ...

  7. 石青建站养站大师 v1.8.6.1

    简介: 石青建站养站大师是一款独特的SEO软件,他通过把个人博客模拟为CMS信息发布网站,从而达到吸引搜索引擎的目的,带来大量流量为建站者带来广告收益,接下来非凡软件站小编就给大家带来这款软件的具体介 ...

  8. 火车到站时间接口 站到站列车信息检索

    火车到站时间接口,支持站到站列车信息检索,查询列次.列次类型.出发站.出发站类型.到达站.到达站类型.发车时间.到达时间.历时.里程.价格列表等相关内容. 接口名称:火车到站时间接口 接口平台:开放a ...

  9. 全息网御携OnFire产品亮相国家网络安全宣传周(内蒙站/甘肃站)

    金秋十月,以"网络安全为人民,网络安全靠人民"为主题的2021国家网络安全宣传周大型活动正如火如荼进行中,盛况超前. 本届活动结合建党百年主题,深入贯彻落实"网络强国&q ...

最新文章

  1. [转]我倡导无政府主义编程—Fred George访谈录
  2. Spring学习(六)bean装配详解之 【通过注解装配 Bean】【基础配置方式】
  3. 对于容斥原理反演的思考和总结
  4. linux磁盘管理------LVM
  5. cocos2d 走动椭圆
  6. Swift - 推送之本地推送(UILocalNotification)添加Button的点击事件
  7. centos 增加分区容量
  8. recyclerview添加间隔左右_卤水保养、卤水添加小常识,你是否已经掌握
  9. android 电量详情,Android应用开发之Android 8.0 电池-)耗电详情获取方法
  10. 计算机毕业设计中基于python的快递查询系统
  11. 制作嵌入式文件系统工具 mkfs.ext2 mkfs.ext3 mkfs.ext4
  12. 真机linux系统封装rhel7.6虚拟机
  13. 艾司博讯:拼多多怎么设置团长ID?团长权限?
  14. VTM3.0代码阅读:CU、PU、TU
  15. .NET 6 RC2 版本发布
  16. 乔治城大学计算机科学硕士2019,乔治城大学2019THE世界大学排名最新排名第109
  17. Nero8直接把APE带CUE映像文件刻录CD方法(转帖)
  18. BULK INSERT如何将大量数据高效地导入SQL Server
  19. 好神奇:衣服也能存储数据啦
  20. 微信小程序开发之编译自动生成新文件的解决办法

热门文章

  1. Linux vim 如何实现多行注释与取消多行注释
  2. time()时间戳与实际时间相差问题
  3. 什么软件能实现网上共享库存数据
  4. vue服务器代理proxyTable配置解决跨域
  5. 什么样的人适合学UI设计?
  6. 【计算机毕业设计】7.线上花店系统maven源码
  7. 为什么B站视频的人物可以不被弹幕挡住?
  8. 怎么下载AutoCAD才能成功打开并使用?具体步骤详解指南
  9. C语言——万年历打印(详细易懂)
  10. 架构设计本质-架构思维