目录
- VPN 概述
- 创建 IPsec VPN 隧道 2.1. 配置 VPN 接口 2.2. 配置 IPsec 隧道 2.3. 配置 VPN 策略
- 客户端配置 3.1. Windows 客户端 3.2. macOS 客户端 3.3. 移动设备客户端
- 网络拓扑设置
- 常见问题 FAQ
VPN 概述
VPN(Virtual Private Network)即虚拟专用网络,是一种通过公共网络建立安全连接的技术。使用 VPN 可以实现企业内部网络和远程用户之间的安全通信,保护数据传输不被窃取或篡改。
Fortinet 的 FortiGate 防火墙支持多种类型的 VPN,其中 IPsec VPN 是最常用的一种。IPsec VPN 利用加密和身份验证技术,可以为远程用户提供安全可靠的网络访问。
创建 IPsec VPN 隧道
下面我们来详细介绍如何在 FortiGate 上配置 IPsec VPN 隧道。
配置 VPN 接口
- 登录 FortiGate 管理界面,进入 网络 > 接口 页面。
- 点击 创建新的 按钮,选择 VPN 隧道 接口类型。
- 为接口命名,例如
vpn
。 - 在 IP/网络掩码 字段中输入 VPN 隧道的 IP 地址和子网掩码,例如
192.168.100.1/24
。 - 保存配置。
配置 IPsec 隧道
- 进入 VPN > IPsec 隧道 页面,点击 创建新的 按钮。
- 为隧道命名,例如
remote-office
。 - 在 本地网关 字段中选择之前创建的 VPN 接口。
- 在 远程网关 字段中输入远程 VPN 端点的 IP 地址。
- 在 预共享密钥 字段中设置一个复杂的密钥。
- 根据需求配置其他参数,如 隧道模式、加密算法、认证算法等。
- 保存配置。
配置 VPN 策略
- 进入 策略 > 防火墙策略 页面,点击 创建新的 按钮。
- 在 源接口 字段中选择 VPN 接口。
- 在 目标接口 字段中选择连接到公网的接口。
- 在 源地址 字段中选择 VPN 客户端所在的网段。
- 在 目标地址 字段中选择要访问的目标网段。
- 在 服务 字段中选择所需的服务类型,如 ALL。
- 启用 VPN 隧道 选项,并选择之前创建的 IPsec 隧道。
- 根据需求配置其他参数,如 操作、日志记录等。
- 保存配置。
客户端配置
完成 FortiGate 端的 VPN 配置后,需要在客户端设备上进行相应的配置,以建立与 VPN 服务器的连接。
Windows 客户端
- 打开 控制面板 > 网络和共享中心。
- 点击 设置新的连接或网络。
- 选择 连接到工作区 选项,然后点击 下一步。
- 选择 使用我的Internet连接(VPN) 选项,然后点击 下一步。
- 在 Internet地址 字段中输入 FortiGate 的公网 IP 地址。
- 在 目标名称 字段中输入一个描述性的名称,如 FortiGate VPN。
- 点击 创建 按钮完成配置。
- 连接 VPN 时,输入之前设置的 预共享密钥。
macOS 客户端
- 打开 系统偏好设置 > 网络。
- 点击 + 按钮添加一个新的网络连接。
- 在 接口 下拉菜单中选择 VPN。
- 在 VPN类型 下拉菜单中选择 IPSec。
- 在 服务名称 字段中输入一个描述性的名称,如 FortiGate VPN。
- 在 服务器地址 字段中输入 FortiGate 的公网 IP 地址。
- 在 账户名称 字段中输入一个标识符,如用户名。
- 点击 认证设置 按钮,并在 共享密钥 字段中输入之前设置的 预共享密钥。
- 点击 好 按钮保存配置,然后点击 连接 按钮建立 VPN 连接。
移动设备客户端
大多数移动设备都支持原生的 IPsec VPN 客户端,配置步骤类似于上述 Windows 和 macOS 客户端。具体步骤如下:
- 进入设备的 设置 > VPN 菜单。
- 点击 添加 VPN 配置 或 + 按钮。
- 选择 IPSec 作为 VPN 类型。
- 输入 FortiGate 的公网 IP 地址作为 服务器地址。
- 在 账户 字段中输入一个标识符,如用户名。
- 在 共享密钥 字段中输入之前设置的 预共享密钥。
- 根据需要配置其他参数,如 DNS 服务器、路由等。
- 保存配置并连接 VPN。
网络拓扑设置
为了确保 VPN 连接的正常工作,需要根据实际网络环境对防火墙进行相应的配置。
典型的 IPsec VPN 网络拓扑如下图所示:
- FortiGate 防火墙作为 VPN 服务器,位于企业网络的边缘。
- 远程办公网络通过 Internet 与企业网络建立 VPN 连接。
- 企业内部网络和远程办公网络之间的流量通过 VPN 隧道进行加密传输。
- FortiGate 防火墙上的 VPN 策略控制 VPN 客户端的访问权限。
根据实际需求,可能需要对 FortiGate 防火墙的其他功能进行配置,如 NAT、防病毒、入侵防御等,以确保整个网络环境的安全性。
常见问题 FAQ
以下是关于 FortiGate IPsec VPN 配置的一些常见问题及解答:
Q1: 为什么无法建立 VPN 连接? A1: 常见原因包括:
- 检查 VPN 接口和 IPsec 隧道的配置是否正确,如 IP 地址、预共享密钥等。
- 确保 VPN 策略已正确配置,允许客户端网段访问目标网段。
- 检查防火墙策略是否允许 VPN 相关的端口和协议通过。
- 确保 VPN 客户端配置正确,如服务器地址、账户信息等。
Q2: 如何查看 VPN 连接状态和日志信息? A2: 可以在 FortiGate 管理界面的以下位置查看:
- 监控 > VPN 监控:查看当前 VPN 连接状态。
- 日志 > 事件日志:查看 VPN 相关的日志信息。
Q3: 如何提高 VPN 连接的安全性? A3: 可以采取以下措施:
- 使用更加复杂的预共享密钥。
- 启用 IKE 和 IPsec 的高级加密和认证算法。
- 配置 VPN 客户端进行双因素身份验证。
- 限制 VPN 客户端的访问权限,只允许访问必要的资源。
- 定期检查和更新 VPN 配置,确保安全性。
Q4: 如何实现 VPN 连接的高可用性? A4: 可以考虑以下方案:
- 部署 FortiGate 集群,实现主备或负载均衡。
- 使用 OSPF 或 BGP 等动态路由协议,实现 VPN 隧道的自动故障切换。
- 配置多个 VPN 隧道,实现冗余备份。
- 结合 SD-WAN 技术,实现多条 WAN 链路的负载均衡和故障切换。
更多问题欢迎随时咨询 Fortinet 技术支持团队。