FortiGate防火墙3.0版本的IPSec VPN设置方法

2024年2月3日发(作者：)

FortiGate防火墙3.0版本的IPSec VPN设置方法

总部（中心端）的设置

一、定义本地（中心端）与分支机构（客户端）的内部网络地址

1. 点击菜单“防火墙”à“地址”à “新建”

2. 在地址名称中写入自定义的名称（如：myabc），IP地址栏里填入本地网络地址和掩码（如：192.168.1.0/255.255.255.0）

3. 重复以上操作定义对端（客户端）的内部网络地址（不能和本地网段有重复）

二、定义VPN通道阶段一的安全关联

1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段1”

2. 在“名称”中任意填写一个自定义的名字

3. 远程网关选择“连接用户”

4. 本地接口选择“WAN1”（当前的公网接口）

5. 模式选择“野蛮模式”

6. 在预共享密钥里填入自定义的密码（两端设置要相同）

三、定义VPN通道阶段二的安全关联

1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段2”

2. 在名称中填入自定义的通道名称（任取）

3. 阶段一选择在在上一步中建立的网关名称

四、建立VPN通道的加密策略

1. 点击菜单“防火墙”à“策略”à“新建”

2. 源接口区选择从“internal”，地址选择代表本地IP地址的名称

3. 目的接口区选择“wan1”（当前的公网接口），地址名选择代表对端（分支机构）内部网络地址的名称

4. 模式选“IPSEC”

5. VPN通道选择在阶段二中建立的通道名称。

注：建议将VPN策略移到顶部位置。

客户端（分支机构）的设置

一、定义本地（客户端）与总部（中心端）的内部网络地址

1. 点击菜单“防火墙”à“地址”à “新建”

2. 在地址名称中写入自定义的名称，IP地址栏里填入本地网络地址和掩码

3. 重复以上操作定义对端（中心端）的内部网络地址

二、定义VPN通道阶段一的安全关联

1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段1”

2. 在“网关名称”中任意填写一个自定义的名字

3. 远程网关选择“静态IP”

4. 输入对端（中心端）的公网IP地址

5. 本地接口选择“WAN1”（当前的公网接口）

6. 模式选择“野蛮模式”

7. 在预共享密钥里填入自定义的密码（两端设置要相同）

三、定义VPN通道阶段二的安全关联

1. 点击菜单“虚拟专网”à“IPSec” à “创建阶段2”

2. 在名称中填入自定义的通道名称（任取）

3. 阶段一选择在在上一步中建立的网关名称

4. 快速模式选择器中“源地址”填本地（客户端）的内部网络地址，“目标地址”填对端（中心端）的内部网络地址，两个地址分别与策略中定义的地址相对应。

四、建立VPN通道的加密策略

1. 点击菜单“防火墙”à“策略”à“新建”

2. 源接口区选择从“internal”，地址选择代表本地IP地址的名称

3. 目的接口区选择“wan1”（当前的公网接口），地址名选择代表对端（分支机构）内部网络地址的名称

4. 模式选“IPSEC”

5. VPN通道选择在阶段二中建立的通道名称。

按照中心端的配置，同样将VPN策略移到顶部。

注：在IPSec VPN设置中，两端有很多参数配置必需一致，否则将不能连接成功，比如共享密钥，加密和认证算法等信息。在此文档中，为方便使用，高级选项基本上是采用默认值，如有需要改动的，一定要保持两端配置的一致。

20:09 | 添加评论 | 固定链接 | 查看引用通告 (0) | 写入日志

2月2日

FG配置SSL的VPN(3.0版本)

一、 服务器端

1、 虚拟专网——SSL设置

选择启动SSL-VPN

登陆端口默认为10443，也可以自己定义

通道IP范围：填的是分配给客户端接入后的地址范围，任何网段均可（FG默认先选择用户组里定义的地址，如果用户组里没有定义地址段，那就会使用这里设置的网段）。

加密密钥算法：选择64位加密就可以了。

门户信息里可输入客户端接入后的界面提示语

2、设置用户——本地——新建

输入客户端登陆时使用的用户名和密码

3、然后在设置用户——用户组——新建

类别选择SSL VPN，把需要添加的用户移动到右边的方框中

如果使用Web或Ftp这种WEB模式的，则在下面的SSL-VPN用户组选项里选择“启动Web应用”，并把需要应用的协议如http/https、Telnet、FTP三种协议勾上。如果使用通道模式，则选择“启动SSL-VPN通道服务”。

4、防火墙——地址——新建

定义一个地址段，比如从192.168.10.1-192.168.10.10

5、防火墙——策略，做一条从外到内的策略

目的地址为刚才在防火墙地址里定义的地址（或选all也行），模式选SSL-VPN。

最后不要忘记把WAN口的https或http管理协议开放。

一、 客户端

1、在IE浏览器里输入219.82.136.237:10443(这里IP和端口换成实际值)会转入登陆界面

2、输入在服务器端定义的用户名和密码，进入SSL VPN页面

4、最后点页面里的“web”或“test2”就可以直接进入WEB服务器了。

19:55 | 添加评论 | 固定链接 | 查看引用通告 (0) | 写入日志

2月1日

升级防火墙软件版本---Fortigate

Fortagate 系列防火墙通过console 口升级(在忘记密码的情况下可用此方法清空)

用console 线连接防火墙的con 口，在用跟普通网线连接防火墙的internal 口和电脑的网卡

安装并运行Tftp server(此例和附件中的Tftp server 都是cisco 的Tftp server)

在Tftp server 中先点击Options 来修改存放升级文件的目录,在TFTP server root

中找到存放

升级文件的目录然后点击OK

通过超级终端进入fortigate,终端属性如图

通过超级终端进入fortigate,终端属性如图：

在连接好fortigate 后，重启fortigate，当出现Press any key to display configuration

menu…

时按回车键，就会出现如下提示：

选择[G]来升级

依次输入TFTP server address

防火墙ip（此时要和TFTP server 的ip 在同一个网段）

输入升级文件名称

升级成功出现如下提示：Save as Default firmware/Run image without saving[D/R]

保存并使用出厂设置/保存使用当前配置

（如果用户密码忘记了可以通过使用出厂配置来清空配置，清空后

用户名为admin

密码为空）