实验篇(7.2) 12. 站对站安全隧道 - 仅一方发起连接(FortiGate-IPsec) ❀ 远程访问_端到站的隧道-程序员宅基地

技术标签: IPsec  拨入  FortOS 7.2  实验  # 远程访问实验  无法远程  

  【简介】上一篇实验发现,两端都是可以远程的公网IP的话,两端防火墙都可以发出连接请求,并且都能够连通。这样的好处是安全隧道不用随时在线,只在有需求时才由发起方进行连接。但是现实中很多情况下只有一端公网IP可以远程,那么还能用IPsec安全隧道吗?


  实验要求与环境

  OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。

  OldMei集团上海分公司需要实时访问深圳总部的域服务器和ERP服务器,要求访问便捷,并且安全性要高。上海分公司使用的是ADSL拨号宽带,拨号得到的IP地址经常会变更,并且IP地址无法在公网中被访问。

  解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,创建VPN隧道后,两地互相访问如同在同一个局域网内,十分便捷。另外由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。由于上海分公司公网IP无法访问,因此只能由上海分公司防火墙拨号至深圳总部防火墙,单向发起连接,并保持安全隧道一直在线。

  实验目标:笔记本电脑通过网卡上网,可以从上海分公司访问深圳总部的域服务器远程桌面。

  实验前的准备工作

  实验前需要删除前期用向导创建的内容。

  ① 首先登录模拟互联网的FortiWiFi 60D防火墙。

  ② 前面的实验中,我们创建了两条策略,允许双边的的宽带接口互相访问。现在我们需要禁用深圳到上海的访问策略。保留上海到深圳的访问策略,这样就模拟出深圳公网IP可以远程访问,而上海公网IP不能远程访问的环境了。

  ③ 关闭笔记本无线,有线通过上海防火墙internal接口,仍然可以访问深圳防火墙wan1口。登录深圳防火墙,选择菜单【VPN】-【IPsec隧道】,找到隧道,点击最右边的关联项数字。

  ④ 逐一删除关联项,全部删干净。

  ⑤ 只有关联项数字为0时,隧道才可以被删除。

  ⑥ 还需要删除漏网之鱼,选择菜单【网络】-【静态路由】,删除接口为黑洞的路由。

  ⑦ 选择菜单【策略&对象】-【地址】,删除向导自动创建的地址对象和地址组,记住要先删除地址组,然后再删除地址对象。

  ⑧ 地址组或地址对象有多个的,可以选择多个,一次性删除。完成深圳总部防火墙的隧道删删除后,再在上海分公司防火墙上完成相同的动作。

  配置深圳总部防火墙

  首先配置深圳总部防火墙。

  ① 登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

  ② 输入名称,由于已经删除以前创建的隧道,我们就可以再用相同的名字创建隧道。模板类型默认【站到站】,NAT配置这次选择【远端站点在NAT后端】,这是因为上海防火墙宽带IP无法远程。还有一种情况,如果上海防火墙wan口接入的是路由器,也是选择这一项。点击【下一步】。

  ③ 流入接口选择拨入的宽带口,输入自定义的预共享密钥,两端要求一致。点击【下一步】。

  ④ 实验的要求是从上海防火墙的internal接口接入的电脑能访问深圳防火墙DMZ接口下的服务器,所以这里输入正确的接口和本地子网、远端子网,点击【下一步】。

  ⑤ 由于这次深圳防火墙配置的是接入方,而不是拨出方,因此向导没有生成路由。点击【完成】。

  ⑥ VPN创建完成,点击【显示隧道列表】。

  ⑦ 向导创建了IPsec隧道。

  ⑧ 向导创建了来回访问的两条策略。

  ⑨ 向导创建了地址组和地址对象。

  ⑩ 由于深圳防火墙是接入方,向导没有创建路由。有人要问了,VPN隧道连通后,深圳要访问上海的话没有路由怎么办?别急,后面会讲到。

  配置上海分公司防火墙

  下面我们来配置上海分公司防火墙。

  ① 登录上海分公司防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

  ② 输入隧道名称,由于已经删除以前创建的隧道,我们就可以再用相同的名字创建隧道。模板类型默认【站到站】,NAT配置这次选择【这个站点在NAT后端】,这是因为上海防火墙宽带IP无法远程。点击【下一步】。

  ③ 远程IP地址填写深圳总部防火墙wan1接口IP,流入接口选择拨出的宽带接口,输入自定义的预共享密钥,和深圳防火墙保持一致。点击【下一步】。

  ④ 实验的要求是从上海防火墙的internal接口接入的电脑能访问深圳防火墙DMZ接口下的服务器,所以这里输入正确的接口和本地子网、远端子网,点击【下一步】。

  ⑤ 由于这次上海防火墙配置的是拨出方,因此向导会创建静态路由。点击【完成】。

  ⑥ VPN创建完成,点击【显示隧道列表】。

  ⑦ 向导创建了IPsec隧道。隧道的状态为【不活跃】。

  验证效果

  虽然两端防火墙都已经用向导配置好了IPsec VPN,但是并不会自动连接,需要手动操作。

  ① 在上海分公司防火墙选择菜单【仪表板】-【网络】,点击【IPsec】展开到全屏。

  ② 隧道阶段1显示绿色向上箭头,表示连通。选择【启用】-【阶段2选择器:SH-SZ】。

  ③ 隧道出现绿色向上箭头提示,表示隧道连通。

  ④ 笔记本电脑目前状态是关闭了无线,有线接上海分公司防火墙internal接口,自动获取IP。Ping远程桌面服务器,可以ping通,查看路由走向,也是先到上海防火墙,再到深圳防火墙。实验取得成功。

  保持隧道一直在线

  每次都要手动操作启用隧道比较麻烦,那能不能自动启用并一直保持隧道是连通状态呢?

  ① 在上海防火墙选择菜单【VPN】-【IPsec隧道】,可以看到隧道状态是【已连接】,选择隧道,点击【编辑】。

  ② 点击【转换为自定义隧道】。

  ③ 点击阶段2选择器框内的笔图标。

  ④ 点击【高级】,弹开内容。

  ⑤ 启用【自动协商】,【自动密钥保持存活】也会自动钩选。自动协商会使隧道一直保持在连通状态。【点击】确认。

  ⑥ 再次回到仪表板下的网络界面,打开IPsec小部件,选择连通状态下的隧道,点击【断开】-【Entire Tunnel】。

  ⑦ 隧道一直保持在连通状态,即使有短暂的断开,又会自动重新连接上。

  路由的疑惑

  上海防火墙IPsec隧道生成时有创建路由,因此可以从上海访问深圳,但是深圳防火墙创建隧道时没有创建路由,那要怎样才能从深圳访问上海呢?

  ① 登录深圳总部防火墙,选择菜单【仪表板】-【网络】,点击【路由】。

  ② IPsec隧道连接成功后,自动在被拨入方创建了一条静态路由。当隧道断开时,这条路由也就不存在了。

  ③ 因为有了这条路由的存在,深圳总部防火墙DMZ接口也就可以访问上海分公司防火墙的internal接口了。


版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/131181280

智能推荐

5个超厉害的资源搜索网站,每一款都可以让你的资源满满!_最全资源搜索引擎-程序员宅基地

文章浏览阅读1.6w次,点赞8次,收藏41次。生活中我们无时不刻不都要在网站搜索资源,但就是缺少一个趁手的资源搜索网站,如果有一个比较好的资源搜索网站可以帮助我们节省一大半时间!今天小编在这里为大家分享5款超厉害的资源搜索网站,每一款都可以让你的资源丰富精彩!网盘传奇一款最有效的网盘资源搜索网站你还在为找网站里面的资源而烦恼找不到什么合适的工具而烦恼吗?这款网站传奇网站汇聚了4853w个资源,并且它每一天都会持续更新资源;..._最全资源搜索引擎

Book类的设计(Java)_6-1 book类的设计java-程序员宅基地

文章浏览阅读4.5k次,点赞5次,收藏18次。阅读测试程序,设计一个Book类。函数接口定义:class Book{}该类有 四个私有属性 分别是 书籍名称、 价格、 作者、 出版年份,以及相应的set 与get方法;该类有一个含有四个参数的构造方法,这四个参数依次是 书籍名称、 价格、 作者、 出版年份 。裁判测试程序样例:import java.util.*;public class Main { public static void main(String[] args) { List <Book>_6-1 book类的设计java

基于微信小程序的校园导航小程序设计与实现_校园导航微信小程序系统的设计与实现-程序员宅基地

文章浏览阅读613次,点赞28次,收藏27次。相比于以前的传统手工管理方式,智能化的管理方式可以大幅降低学校的运营人员成本,实现了校园导航的标准化、制度化、程序化的管理,有效地防止了校园导航的随意管理,提高了信息的处理速度和精确度,能够及时、准确地查询和修正建筑速看等信息。课题主要采用微信小程序、SpringBoot架构技术,前端以小程序页面呈现给学生,结合后台java语言使页面更加完善,后台使用MySQL数据库进行数据存储。微信小程序主要包括学生信息、校园简介、建筑速看、系统信息等功能,从而实现智能化的管理方式,提高工作效率。

有状态和无状态登录

传统上用户登陆状态会以 Session 的形式保存在服务器上,而 Session ID 则保存在前端的 Cookie 中;而使用 JWT 以后,用户的认证信息将会以 Token 的形式保存在前端,服务器不需要保存任何的用户状态,这也就是为什么 JWT 被称为无状态登陆的原因,无状态登陆最大的优势就是完美支持分布式部署,可以使用一个 Token 发送给不同的服务器,而所有的服务器都会返回同样的结果。有状态和无状态最大的区别就是服务端会不会保存客户端的信息。

九大角度全方位对比Android、iOS开发_ios 开发角度-程序员宅基地

文章浏览阅读784次。发表于10小时前| 2674次阅读| 来源TechCrunch| 19 条评论| 作者Jon EvansiOSAndroid应用开发产品编程语言JavaObjective-C摘要:即便Android市场份额已经超过80%,对于开发者来说,使用哪一个平台做开发仍然很难选择。本文从开发环境、配置、UX设计、语言、API、网络、分享、碎片化、发布等九个方面把Android和iOS_ios 开发角度

搜索引擎的发展历史

搜索引擎的发展历史可以追溯到20世纪90年代初,随着互联网的快速发展和信息量的急剧增加,人们开始感受到了获取和管理信息的挑战。这些阶段展示了搜索引擎在技术和商业模式上的不断演进,以满足用户对信息获取的不断增长的需求。

随便推点

控制对象的特性_控制对象特性-程序员宅基地

文章浏览阅读990次。对象特性是指控制对象的输出参数和输入参数之间的相互作用规律。放大系数K描述控制对象特性的静态特性参数。它的意义是:输出量的变化量和输入量的变化量之比。时间常数T当输入量发生变化后,所引起输出量变化的快慢。(动态参数) ..._控制对象特性

FRP搭建内网穿透(亲测有效)_locyanfrp-程序员宅基地

文章浏览阅读5.7w次,点赞50次,收藏276次。FRP搭建内网穿透1.概述:frp可以通过有公网IP的的服务器将内网的主机暴露给互联网,从而实现通过外网能直接访问到内网主机;frp有服务端和客户端,服务端需要装在有公网ip的服务器上,客户端装在内网主机上。2.简单的图解:3.准备工作:1.一个域名(www.test.xyz)2.一台有公网IP的服务器(阿里云、腾讯云等都行)3.一台内网主机4.下载frp,选择适合的版本下载解压如下:我这里服务器端和客户端都放在了/usr/local/frp/目录下4.执行命令# 服务器端给执_locyanfrp

UVA 12534 - Binary Matrix 2 (网络流‘最小费用最大流’ZKW)_uva12534-程序员宅基地

文章浏览阅读687次。题目:http://acm.hust.edu.cn/vjudge/contest/view.action?cid=93745#problem/A题意:给出r*c的01矩阵,可以翻转格子使得0表成1,1变成0,求出最小的步数使得每一行中1的个数相等,每一列中1的个数相等。思路:网络流。容量可以保证每一行和每一列的1的个数相等,费用可以算出最小步数。行向列建边,如果该格子是_uva12534

免费SSL证书_csdn alphassl免费申请-程序员宅基地

文章浏览阅读504次。1、Let's Encrypt 90天,支持泛域名2、Buypass:https://www.buypass.com/ssl/resources/go-ssl-technical-specification6个月,单域名3、AlwaysOnSLL:https://alwaysonssl.com/ 1年,单域名 可参考蜗牛(wn789)4、TrustAsia5、Alpha..._csdn alphassl免费申请

测试算法的性能(以选择排序为例)_算法性能测试-程序员宅基地

文章浏览阅读1.6k次。测试算法的性能 很多时候我们需要对算法的性能进行测试,最简单的方式是看算法在特定的数据集上的执行时间,简单的测试算法性能的函数实现见testSort()。【思想】:用clock_t计算某排序算法所需的时间,(endTime - startTime)/ CLOCKS_PER_SEC来表示执行了多少秒。【关于宏CLOCKS_PER_SEC】:以下摘自百度百科,“CLOCKS_PE_算法性能测试

Lane Detection_lanedetectionlite-程序员宅基地

文章浏览阅读1.2k次。fromhttps://towardsdatascience.com/finding-lane-lines-simple-pipeline-for-lane-detection-d02b62e7572bIdentifying lanes of the road is very common task that human driver performs. This is important ..._lanedetectionlite

推荐文章

热门文章

相关标签