本範例以 Vigor2910 為例和 Fortigate 建立 VPN 連線。
Vigor2910 的相關資訊:
WAN IP : 220.130.52.214
Network IP : 192.168.129.0
Network Mask : 255.255.255.0
Fortigate 的相關資訊:
WAN IP : 210.202.x.x
Network IP : 192.168.20.0
Network Mask : 255.255.255.0
Fortigate 的設定:
1. 進入 Fortigate 設定畫面中,點選 VPN --> IPSEC,然後點選 Create Phase1。
2. 將此設定輸入一個名稱,然後在遠程網路閘和 IP 地址分別輸入 Vigor2910 IP 的模式和 IP 位址。接著在 local Interface 選擇要和 Vigor2910 建立 VPN 的 port ( 也就是 Fortigate 對外連線的 port ),認證方法選擇 Preshared Key,然後輸入您欲設定的 Pre-shared Key 密碼,再按下進階選項進行下一步的設定。
3.在進階選項設定中須注意加密演算法需和 Vigor2910 上的設定對應,在 DH 組選擇1,密鑰週期輸入 28800。
4.接著進入Phase2 的設定, 點選 Create Phase2 進行接下來的設定。
5.在 Name 的欄位輸入一個名稱,Phase1 選擇此 Phase2 要接續哪一個 Phase1 設定,將啟發完全轉發安全性 (PFS) 取消勾選,密鑰週期輸入 3600 秒。在 Source Address 輸入 Fortigate 的 Network IP/Subnet Mask,在 Destination Address 輸入 Vigor2910 的 Network IP/Subnet Mask。
6.在防火牆 --> 策略 做以下的設定。
選擇新增後,在來源介面選擇 LAN 端的介面,目的介面選擇 WAN 端的介面,位址名稱選擇新增新建置然後在子網段/網路位址範圍輸入Vigor2910 的 LAN 網段和網路遮罩。採取行動選擇 IPSEC。接著在 VPN 通道選擇此 VPN 的設定名稱然後勾選 Allow Inbound 和 Allow Outbound。
7.接著要設定到 Vigor2910 的靜態路由,在路由 --> 靜態路由中選擇新增。
8.先建立 Fortigate 到 Vigor2910 LAN 端的固定路由。
在目的地 IP/網路遮罩輸入 Vigor2910 LAN 端的網段和網路遮罩,在設備選擇 Fortigate WAN 端的介面,最後在網路閘輸入 Fortigate 的 Gateway IP (此設定表示到 192.168.129.0 網段的封包都經由我們指定的網路閘送出 )。
9.接著再新增一個 Fortigate 到 Vigor2910 WAN 端的固定路由。
在目的地 IP/網路遮罩輸入 Vigor2910 的 WAN IP 和網路遮罩,設備選擇 Fortigate WAN 端的介面,最後在網路閘輸入 Fortigate 的 Gateway IP。到此便完成 Fortigate 的設定。
Vigor2910 的設定 :
1. 從 Vigor web 設定主畫面點選 VPN 與遠端存取 >> LAN to LAN。
2. 點選"索引編號1" 進去之後,設定畫面如下:
a. 輸入"設定檔名稱"。
b. 勾選 "啟用此設定檔" 來啟用此設定。
c. 點選 "撥出" 或 "撥入" ( 此範例 Vigor 當 撥出 端,若 Vigor 當 撥入 端請跳到第 3 項 撥入設定 )。
d. 將 閒置逾時 設為 0 ( 0:表示不斷線 )。
註 [ 預設值是 300 秒,表示 300 秒內若沒封包進出就自動斷線。勾選永遠連線表示 VPN 通道斷線後,會自動再撥起 VPN 連線。]
e. 選擇 IPSec 通道。
f. 輸入Fortigate 的 Vigor WAN IP 位址或 網址。
g. 輸入IKE 預先共用金鑰 ( key 要跟 Fortigate 端的預先共用金鑰 一樣)。
h. 選擇認證和資料加密的方法( 這邊選的是 ESP, 3DES, 這個也要跟 Fortigate 端 phase 2 的 proposal 一樣)。
i. 點選 IPSec 安全防護方式 - "進階" (請看第二張圖) ,選擇 Main 模式 及建議 ( 要跟 Fortigate 端的phase 1, phase2 proposal 對應)。
j. 輸入Fortigate 內部遠端 IP 位址及遮罩。
k. 按 確定,即完成 Vigor 設定。
當封包要傳送到 Fortigate 端時,會 trigger VPN 自動連線 。 或者 您可以到主畫面點選 VPN 與遠端存取 >> 連線管理 按 Dial。
當撥打 VPN 連線成功,您可以看到 VPN 連線狀態。
發布日期: 2013-02-17