手机版 | 登陆 | 注册 | 留言 | 设首页 | 加收藏
当前位置: 网站首页 > 电脑网络 > 文章 当前位置: 电脑网络 > 文章

一步一步教你使用飞塔防火墙配置IPSEC vpn

时间:2022-01-06    点击: 次    来源:网络    作者:华哥 - 小 + 大

下面我们以飞塔200A为例

一、配置接口

飞塔防火墙默认管理地址是https://192.168.1.99,一端连接本地的有线网口,另一端连接在 防火墙的MGMT口,打开IE或是火狐,本人测试火狐浏览器支持最好,所以建议下载个火狐浏览器配置比较好。


如上图,成功连接到防火墙设备,初始的用户名是admin,密码为空,进入后如下图


二、配置网络参数(上网)

1、  如果你是通过ppoe拨号上网的,点击左侧网络下的接口,右边弹出如下图


右击wan1点编辑,弹出


在别名处写入自己比如容易记录的标识,这个标识就是这个接口是干什么用的,比如本例中的别名处填写的上海,表示该口是连接上海的专线或是ADSL拨号所用的。在地址模式处选择你所连接的方式,如果您是专线固定的IP,就在下面的IP地址/子网掩码处写入接入商分配给你的IP与子网掩码,例如124.193.193.25/255.255.255.224,如果是小区宽带大多数都是自动获得的IP,选择DHCP选项即可,系统会自动获得IP地址,如果您是PPPoe拨号上网的话,弹出如图

在用户处写入ISP分配给你的用户名,在密码处填入ISP给你的密码,在管理访问处选择HTTPS,PING,FMG-访问即可。最后点确认即可。

2、  编辑内网接口


在IP地址/子网掩码处写入规划好的内网IP地址,这个地址就是客户机上网所指向的网关。本例中设置的是192.168.100.99/24,最后点确认即可。

如上图,点击左侧的路由下面的静态路由,点击右边的创建新的如下图

在目的IP/子网掩码处不用修改,默认即可


在设备后选择你连接ISP接入商所用的网口,本例中是wan1,网关处写入ISO接入端所给的地址,本例是124.193.193.16,最后点确认即可。

3、  配置策略

正常防火墙出厂会有一条默认的策略,就是启用NAT,也就是大家把上网参数都正常配置好后,客户端就可以正常上网了(防火墙上开启了DHCP或是内网中有一台DHCP服务器情况下)。如下图

图中标红处为默认的策略,不能删除

三、配置IPsec vpn

右击左边的虚拟专网下面IPsec下的自动交换密匙,右边弹出如下图


如上图,点击右边的创建阶段1,如下图

如上图在名称处启一个自己熟悉的名称,IP地址处写入要连接到对方的出口IP地址,在另一个防火墙配置中这里指向本地的出口IP,在本地接口选择你配置isp接入端上网所用的网口,本例中的是wan1,在模式选择野蛮模式,在预共享密匙处设置一个双方连接所用的密码。再点击高级选择按钮,如下图

最后点确认即可,第一阶段就创建完毕。

点完确认后如下图


再点击创建阶段2

,在名称片启一个好记的名称,在阶段1处选择刚才创建的阶段1,在保持存活后面的启用的钩一定要选择上,在源地址指明后面写入本地的内网网段,在目标地址写入对方的内网网段,如192.18,200.0/24。在另一端配置跟本例的相反配置即可。

四、配置策略

点击左侧的Policy下的策略下面的策略,再点击右上边的创建新的如下图



在源接口/区选择internal(内部接口),源地址写入本地的IP段,如下图已事先定义好

在目的接口处选择上网配置的接口,本例中的wan1,在目的地址处写入分公司的地址段,,在服务处选择ANY,在动作处选择IPSEC,在VPN隧道处选择刚才创建的阶段1,最后点确认即可。配置成功如下图

五、测试

最后点击虚拟专网下的监视器下的IPsec 监测,右边弹出如下图


点击图中的状态处的启用,如果状态由启用变成断开状态,表明配置成功。

第二种连接方式就是接口连接方式(也叫路由方式,这样做的好处是可以灵活配置需要访问的策略,也适用于如北京总部有些敏感的资源需要源IP限制,就是公司的出口IP访问,这样的话就只能选择路由模式了。通道模式就不适用了)

配置方法:

1、  创建阶段1和通道模式类似,唯一不同事的是在建立路由模式时要选择在高级选项里选择启动ipsec接口模式,下面都是默认就行了,如下图

2、 

       创建阶段2同通道模式

3、  建立静态路由,如下图

最后在加两条策略如下图

如上图看下状态,如果不是断开状态的话,点击启用变为断开状态,表示配置正常。这时两边应该就是通了。

   4

注:如果分部是拨号上网的话,注意两点,第一点就是在建立第一阶段时要选择接受些对等体ID和在阶段1交互方案中的本地ID处输入hangzhou本列是。如下图


图中标红片为在分部连接北京总部时在本地ID处写入hangzhou,在北京建立阶段1时在接受些对等体ID处写入hangzhou即可。这样做两端才会通,否则有可能不通的。

第二点注意的是在创建阶段2时的快速模式选择器那一栏,源地址和目标地址一定要指明网段,要不然也会造成不通的。通道模式是不需要的。只有分部是拨号连接到总部时才会需要这两步,这两步需要注意的。


上一篇:virtualbox win7 iis 由于扩展配置问题而无法提供您请求的页面。如果该页面是脚本,请添加处理程序

下一篇:FlashFXP注册码(亲测可用)FlashFXP激活码

免责声明 | 联系我们 | 关于我们
鄂ICP备2022000150号-1  |  鄂公网安备42098102000095  |  Email:zhangyihua@163.com  |  

Copyright © 2022    99资讯网