在 Fortigate 中使用 IPSEC 制作 VPN 并与 FortiClient 连接

此过程介绍如何使用 IPSec 设置 VPN，以连接到从 Internet 到您组织的 LAN 的任何 PC. 所有流量都将使用 IPSec 进行加密. 要连接到 VPN，我们将通过软件进行 “FortiClient 终端防御软件”. 解释分为两部分:

– 防火墙设置 – 这里
– 安装, 在一个位置配置和连接 VPN 客户端 – 这里

Fortigate 上的 VPN 配置,

井, 首先, 配置接受 VPN 的防火墙并安全地配置它们, 我们登录它, 进入左侧的菜单 “虚拟专用网络” > “IPSEC （英语）” 我们必须从 “创建阶段 1”.

我们需要配置以下所有选项:
“名字”: 我们把任何人放在上面, 在我的例子中 “VPNP1”.
“远程网关”: 我们从一开始就拥有的连接类型, 在我的情况下，从任何 PC 使用 FortiClient 进行连接都是 “拨号用户”.
“本地接口”: 连接将转到哪个接口, 正常 WAN1 或 WAN2, 就我而言 “WAN1 系列”.
“模式”: “主要”
“身份验证方法”: 我选择的选项是输入一个通用密码，以便他们通过 VPN 进行连接, 跟 “预共享密钥”
“预共享密钥”: 我输入了我感兴趣的密码.
“对等选项”: 我们表示您接受所有 > “接受任何对等 ID”.
– 点击按钮 “高深…” 查看更多连接选项.
我们有两种安全连接选项, 我们选择最安全的, 现在剩下的就是让客户端兼容, 在我的情况下，第一个将是 “加密”: “3DES” 和 “认证”: “SHA1 格式” 如果此连接是不可能的, 下一个将是: “加密”: “3DES” 和 “认证”: “MD5”.
“DH 集团”: 我们只标记 “5”.
“钥匙寿命”: 违约 28800.
“X最大”: 我们将启用它，但作为服务器, “启用为服务器”.
“服务器类型”: 奶头.
“用户组”: 我们选择可以连接到此 VPN 的用户组, 因此，我们有兴趣连接的所有用户都应该放在这个组中 (如果它不存在, 好吧，我们创建它并让一些测试用户加入).
“Nat 横向”: 我们支持 “使”.
“Keepalive 频率”: 10 这是默认值.
“失效对等体检测”: 同时启用, “使”.

一旦我们有了这样的值，我们就会接受, 我们给予 “还行”.

不错, 现在我们需要创建另一个阶段, 点击 “创建阶段 2”.

我们填写的信息与第一阶段输入的信息相同:
“名字”: 我们想要的名字, 就我而言，就像前一个一样, 我把它放进去 “VPNP2”.
“第一阶段”: 我选择之前创建的, “VPNP1”.
– 点击 “高深…”
我们采用与第一阶段相同的加密.
我们启用了 PFS “启用完全正向保密” 和 “启用重放检测”.
“DH 集团” 我们让他独自一人 “5”
在 “钥匙寿命” 我们留给您预定的时间.
“自动键 Keep Alive” 我们支持.
“DHCP-IPsec” 还可以在网络上使用 DHCP 服务器.
我们给予 “还行”.

不错, 现在我们需要创建一个规则来允许这些 VPN 连接从 Internet 到我们的 LAN. 为此，, 我们将 “防火墙” > “政策” > 然后点击 “新建”.

在 “源” 我们必须把 VPN 加密放到我们想要的地方, 那就是，命运 (¿?), 在我的例子中，它会是 “内部”.
“地址名称: 都”
在 “目的地” 连接将来自何处, 在我的示例中，一切都通过 “wan1”.
“地址名称: 都”
我们始终希望它能够正常运行: “附表: 总是”.
所有协议都有效, 通过 VPN 传递所有流量, 所以 “服务” 表明 “任何”.
不同的是，在 “行动” 我们必须把 “IPSEC （英语）” 所以我创建了一个安全隧道.
在 “VPN 隧道” 我们说明我们的第一阶段是什么, 就我而言，它是 “VPNP1” 我们标记了 “允许入站” 和 “允许出站” 以便通过 VPN 同时存在传入和传出流量, 骨, 连接者可以访问网络资源并可以访问它.
我们给予 “还行”.

我们检查它是否在 “内部-> wan1” 和 “行动” 把 “加密”.

不错, 现在您所要做的是配置 DHCP 服务 (这是可选的, 我们希望某人连接到我们以为其分配 IP 地址, 否则, 我们可以从 VPN 客户端对其进行配置). 如果我们想要配置它, 是, 因为 “系统” > “DHCP” > 在 “wan1” > “服务器” 我们给出 .

还行, 让我们为接口创建一个 DHCP 服务器 “wan1” 但仅适用于 VPN 连接 (IPSEC （英语）):
“名字” 我们给你一个名字, 例如: 服务器DHCPvpn
当然，它必须启用, 因此，请检查 “使”.
在 “类型” 我们成功 “IPSEC （英语）”.
在 “IP 范围” 我们会告诉您在用户连接时将为其分配什么 IP 范围. 我们给他们戴上了网络掩码 “网络掩码” 和一个网关 (自选), 在 “域” 它只是应该在网络上的域.
在 “租赁时间” 是此 IP 分配的持续时间，当它过期时，如果它不可用并且另一个 IP 请求到达，它将被分配给这个新的 IP 请求.
“DNS 服务器 1”, 是将解析您名称的服务器, 我们将 DNS 服务器放在我们的 LAN 上.
我们给予 “还行”.

我们检查我们的 DHCP 服务器是否已经存在并已启用. 好吧，防火墙中的所有配置都已经完成, 现在我们有客户部分.

安装, 使用 FortiClient 在工作站上配置和连接 VPN 客户端,

本部分介绍如何安装名为 FORTICLIENT 的 VPN 客户端并将其配置为连接到 VPN. 第一件事是从网站下载 HTTP 协议://www.fortinet.com 或这里.

还行, 首先要做的事情, 安装简单, 助理. 点击 “下一个”,

是的, 我们接受许可证, 我们给予 “下一个”,

眼睛!! 我们不会进行完全安装, 因为这甚至会安装一个防病毒软件，如果我们在同一台 PC 上有两个防病毒软件，我们知道会发生什么, PC 崩溃. 所以定制安装, “习惯” 和 “下一个”,

我们只选择 “IPSec VPN” 通过 VPN 连接就足够了, 我们给予 “下一个”,

和 “安装” 开始安装…

…

还行, 几秒钟后，我们已经安装了 VPN 客户端, “完成”,

使 VPN 客户端正常运行, 我们必须重新开始, 是强制性的, 所以什么时候可以重启.

电脑重启后, 我们现在可以打开 FortiClient, 从它, 单击 “高深 >>>” > “加…” 创建 VPN 连接.

我们为连接命名, 我们可以告诉您 IP 配置是自动的还是手动的, 如果我们已经在防火墙中配置了 DHCP 服务器，我们可以将 “自动”, 否则, “手动” 并放置一个网络配置以使用接口 “内部”. 在 “身份验证方法” 选择 “预共享密钥”, 这将是我们之前在防火墙的第 1 阶段配置中放置的那个. 我们 “高深…”