FortiGate防火墙vpn设置.docx

1、FortiGate防火墙vpn设置 . FortiGate防火墙的LAN TO LAN型式的VPN设置方法 服务器端的设置 首先在服务器端定义客户端的私网网段，依次选择主页面左侧菜单中的“防火墙”?“地址”，在地址栏页面中点击“新建”按钮，在地址名称中写入自定义的名称，在IP地址栏里填入对方的私网网段和掩码，如下图： ，”?“IPSec下面建立一个提供远程接入的VPN通道，依次选择菜单中的“虚拟专网”网关，在网关名称中任意填写一个自定义的VPN1，点击“新建”按钮新建一个先选择阶段，在预共享密钥里填入自定义的认证”，点击“野蛮模式名字，远程网关中选择“连接用户”在名字（两端设置要相同），在接受

2、此对等体ID里填入自定义的ID码（两端设置要相同）”即组只选择“1，点击下面一行的“减号”、认证选择“MD5”，DH”加密算法里选择“DES 可，密钥周期如有改动要确保两端设置相同。如下图所示： ”标签，在通道名称里任意填写一个名2接下来新建一个通道，点击此页面中的“阶段 资料Word . 字，远程网关里选择在阶段一里建立的网关名称，点击“高级选项”进行高级设置，在阶段2交互方案中选择DES加密算法和MD5认证算法，点击下面一行的“减号”，取消“启用数据重演检测”和“启用完全转发安全性”选项，密钥周期如有改动需保证两端相同，确保保持存活选项的状态为启用，快速模式鉴别选项选择“在策略中选择”。如

3、下图所示： 建立一条从内网通向上面定义的对方网段的加密策略，并移动该策略到所有策略的首”“接中区选择从internal点击“防火墙”依次选择菜单中的?“策略”，“新建”按钮，位置，VPN”ENCRYPT，地址名选择内部网络地址池到上面建好的对端地址池，模式选“wan1到“” 通道选择在阶段二中建立的通道名。 资料Word . 客户端的设置依次选择首先在客户端定义服务器端的私网网段，客户端的设置与服务器端基本相同，在地址栏页面中点击“新建”按钮，在地址名?“地址”主页面左侧菜单中的“防火墙”地址栏里填入对方的私网网段和掩码，及本地的私网网段和IP称中写入自定义的名称，在 掩码如下图： 资料Wor

4、d . 下面建立一个提供远程接入的VPN通道，依次选择菜单中的“虚拟专网”?“IPSec”，选择阶段1，点击“新建”按钮新建一个VPN网关，在网关名称中任意填写一个自定义的名字，远程网关中选择“静态IP地址”，在IP地址栏里填写对端的公网IP，点击“野蛮模式”，在预共享密钥里填入自定义的认证码（两端设置要相同），点击“高级选项”，在加密算法里 ”即可，在本地1DH组只选择“，点击下面一行的“减号”DES”、认证选择“MD5”，选择“，密钥周期如有改动要确保ID名称设置要相同）IDID里输入自定义的名称（与对端接受的 两端设置相同。如下图所示： ”标签，在通道名称里任意填写一个名字，远程网关里2

5、接下来点击此页面中的“阶段交互方案中选2选择在阶段一里建立的网关名称，点击“高级选项”进行高级设置，在阶段，取消“启用数据重演检测”和MD5认证算法，点击下面一行的“减号”择DES加密算法和选择保持存活选项的状密钥周期如有改动需保证两端相同，“启用完全转发安全性”选项， 。如下图所示：态为启用，快速模式鉴别选项选择“在策略中选择” 资料Word . 建立一条从内网通向上面定义的对方网段的加密策略，并移动该策略到所有策略的首”internal接中区选择从“新建”?位置，依次选择菜单中的“防火墙”“策略”，点击按钮，VPN，地址名选择内部网络地址池到上面建好的对端地址池，模式选“ENCRYPT”到

6、“wan1 通道选择在阶段二中建立的通道名。 资料Word . 设置中，两端有很多配置必需一致，否则不能连接成功，比如VPN形式的注：LAN TO LAN ，密钥周期等信息。共享密钥，对等体ID 资料Word . FortiGate防火墙的PC TO LAN型式的VPN设置方法 第一步：建立用户帐号信息 依次选择“设置用户”?“本地”，点击“新建”按钮，在用户名称栏里填写自定义的名字，然后在“输入密码”栏里输入密码，点击“OK”按钮。根据需要可重复上面步骤添加 多个用户。如下图所示： 第二步：定义用户组，在“组名”中任意填写一个名字，在“可用的成员”中选择 点击菜单中的“用户组” 资料Word

7、 . 刚刚建立的用户，然后点击添加用户的箭头。如下图所示： 第三步：启用PPTP 依次选择“虚拟专网”?“PPTP”，在此页面中选择“启用PPTP”，在“起始IP”和“终止IP”栏里分别填写要分配的起始地址和终止地址，用户组栏里选择刚刚建立的用户组， 点击“应用”按钮。如下图所示： IP地址第四步：定义外部的虚拟，点击“新建”按钮，在地址栏里任意填写一个名称，“地址”依次选择“防火墙”? 地址或网段。如下图所示：IP/地址范围子网掩码”里填写要分配给远程PC的虚拟IP“ 拨入的策略第五步：建立允许远程PC 资料Word . 依次选择“防火墙”?“策略”，点击“新建”按钮，接口区中的“源”选择“

8、WAN1”，“目的”选择“internal”，地址名中的“源”选择刚刚建立的地址名称，“目的”选择“all”， ”按钮完成配置。如下图所示：ACCEPT”即可，点击“OK模式使用默认的“ 以及用户名和密码即可。具体操作步骤IP在客户端的设置中，只需填入接入端的公网 如下：，在“网络和“网络和拨号连接”WINDOWS里的“开始”菜单中依次选择“设置”?在 ，如下图所示：拨号连接”中双击“新建连接”启动“网络连接向导” 资料Word . 。Internet连接到专用网络”，选择“通过按提示点击“下一步” 地址中填入服务IP再点击“下一步”选择“不拨初始连接”，点击“下一步”，在主机名或 地址。IP

9、端的公网 资料Word . ，最后点击“完成”即可。下面的步骤按默认点击“下一步” 双击运行刚刚建立的“虚拟专用连接”输入在服务端建立的“用户名”和“密码”信息，确 VPN连接了。认填写正确后点击“连接”即可进行PC TO LAN的 资料Word . FortinetClinet设置方法 服务端请参考LAN TO LAN的设置方法，只是在建立策略时有些不同，需建立一条从内部到外部的加密策略，源地址选内网所有地址，目的地址选“ALL”所有地址，模式选择“加密通道”，如下图所示： 下面介绍有关FORTICLIENT的设置方法： 资料Word . 后，点击增加，会出现一个新建连接，连接名随意起一个，远程FortinetClinet，1 打开2IP和子网掩码。共享密钥IP网关为Fortinet防火墙的外网，远程网络地址为内网 ）然后点击高级，进行下一步设置。边设置为一样既可。（现设为123456 资料Word . 2， 模式设置为野蛮模式，DH组选1，本地ID两边必须一致（现设置为shhuagai），加密设置为默认的DES,MD5既可。然后，在高级选项中把回放攻击探测和NAT穿透2个选项的钩去掉,把自动重建秘钥的钩选上，然后后电击确定就完成了全部设置。 3，全部设置完后，点击连接，回出现一个协商表，显示协商成功表示连接成功，这样，就完成一个IPSEC的VPN连接。 资料Word