SSL篇(6.0) 03. 通过 SSL 访问 IPsec ❀ 飞塔 (Fortinet) 防火墙

时间  2020-12-28

  【简介】经常有人问可不可以通过SSL v*n到达某个防火墙,再通过防火墙与防火墙之间的IPsec v*n访问另一台防火墙后的电脑。这是可以做到的!我们在前面已经创建好IPsec v*n和SSL v*n,现在我们来试着把SSL v*n与IPsec v*n串联起来访问。

配置环境

  我们在广州有一台FortiGate 200D防火墙,深圳有一台FortiGate 500D防火墙,两台防火墙中间已经用IPsec v*n连接。

 

 

  ① 我们要做到的是:通过远程SSL v*n登录200D,再访问500D的192.168.28.0网段。

允行 SSL v*n 访问 500D 的内网地址段

  在上一篇文章中,配置SSL v*n门户时,已经限制了访问对象,只允许SSL v*n用户访问200D的172.16.1.0网段。我们需要再添加一个允许访问500D的网段。

   ① 登录广州FortiGate 200D防火墙,在地址对象里,我们看到前面已经生成了一个500D的内网的地址对象,如果没有这个地址就新建一个。

  ② 选择菜单【虚拟专网】-【SSL-v*n门户】,选择【full-access】,点击【编辑】。

   ③ 在【启用隧道分割】的路由地址里加入远程地址对象。

     ④ 再次用电脑客户端FortiCliet远程登录SSL v*n,我们会看到生成的路由表中,只要访问172.16.1.0和192.168.28.0这两个网段,都会走SSL v*n隧道。 

200D 创建第二条 IPsec v*n 隧道

  虽然SSL v*n用户访问192.168.28.0网段能到达200D,而静态路由也指向IPsec v*n虚拟接口,但是由于我们在IPsec v*n设置中,只允许172.16.1.0和192.168.28.0互访,而SSL v*n登录防火墙时产生的IP地址是192.168.168.0网段,因此,SSL v*n的访问虽然能到达200D,但仍然不能到达500D,解决的办法就是再建一条隧道,允许SSL v*n地址段与192.168.28.0互访。

   ① 在前面的IPsec v*n设置文章中,我们只建立了一条访问隧道,限定了IP地址网段,如果允许SSL v*n也能访问,需要再建立一条隧道。

    ② 为了方便理解,我们把SSL v*n当作是防火墙的另一个内网接口,这样我们就再建立一个内网的地址对象,内容为SSL v*n自动分配的地址段。

     ③ 选择菜单【虚拟专网】-【IPsec隧道】,选择已经建立的Ipsec v*n,点击【编辑】。

     ④ 在【阶段2选择器】,我们看到已经有一条隧道存在,点击【添加】,再新建第二条隧道。

  ⑤ 输入第二条隧道名,和第一条隧道一样选择【地址命名】,选择本地址对象2和远程地址对象,加密等能参数,与第一条隧道内容相同就可以了。

  ⑥ 由于SSL v*n和内网口都是访问同一个远程地址,因此静态路由就不需要更改了。

  ⑦ 新建一条允许SSL v*n虚拟接口访问IPsec v*n虚拟接口的策略,SSL v*n的虚拟接口还是需要指定地址与用户。

      ⑧ 如果需要500D能访问SSL v*n连接的电脑,就再建一条允许IPsec v*n虚拟接口访问SSL v*n虚拟接口的策略。

500D 创建第二条 IPsec v*n 隧道

  200D创建好第二条隧道后,500D同样也要创建第二条隧道。

  ① 在500D上创建一条访问对方SSL v*n地址的地址对象。

   ② 编辑IPsec v*n,在【阶段2选择器】新建一条隧道,和第一条隧道一样,只是远端地址为对方SSL v*n地址。

   ③ 如果需要500D访问对方SSL v*n拨号电脑,还需要建立一条静态路由,当访问对方SSL v*n地址时走IPsec v*n隧道到达200D,再通过200D到达SSL v*n拨号电脑。

     ④ 修改内网到IPsec v*n虚拟接口策略,在目的加入远程SSL v*n地址。

   ⑤ 修改IPsec v*n虚拟接口到内网接口策略,在源地址加入远程SSL v*n地址。

     ⑥ 由于在阶段2的设置里选择了自动协商,因此配置好后,隧道自动连接,因此可以看到有两条隧道是连接状态。

验证

  IPsec v*n的第二条隧道通了,SSL v*n访问两个地址都能到达200D,现在我们测试一下能不能再通过IPsec v*n达到500D。

  ① 将笔记本电脑连接手机热点,和200D及500D用的不同的宽带,FortiClient客户端拨号到200D,生成临时分配的SSL v*n地址192.168.168.1。

   ② 首先Ping的是200D的内网接口地址,可以Ping通,然后再Ping的是500D的内网接口地址,也可以Ping通。说明笔记本电脑通过SSL v*n到达200D,然后再通过IPsec v*n到达了500D。

  ③ 在500D上,定义内网源接口地址后Ping笔记本电脑的SSL v*n地址,也可以Ping通。双向访问成功。

 

联系我们 沪ICP备2021010478号-7