通过之前的对比,我们发现不要授权的FortiOS比需要授权的FortiGate还要多一些无线相关的功能(不需要授权的FortiOS和FortiGate有什么差异?);但是FortiOS的性能比FortiGate整体要差不少(FortiOS和FortiGate除了在功能上的细微差异,性能差别大吗?),及时调高虚拟机规格,大概只能到一半多点的性能。
对比完功能和性能,本来我是打算用FortiOS来测试IPsec VPN的配置的,但是出了几个问题:第一个就是上次打流的FortiOS不能转发流量了,第二个就是FortiOS出现了不能跨设备转发流量的问题,据说是因为FortiOS需要控制器,否则路由都不生效。导致的结果就是IPsec VPN第二阶段始终无法协商成功,我研究了三四天,对比了官方和非官方不少案例和教程,发现就是单纯的设备无法实现。
没办法,只能使用使用两台FortiGate设备了,分别命名为VM43和VM47。
以VM43为例,首先配置好互联接口。
然后,进入“VPN”下的“IPsec向导”,我们先看看飞塔默认支持的IPsec VPN是如何配置的。
第一步是“VPN建立”。可以看到,模板类型分为站到站、HUB-and-SPOKE、远程拨号和自定义,一般比较常用的就是站到站和HUB-and-SPOKE,我们这次先测试站到站(Site to Site)。NAT配置和我们常用的场景类似,分为没有NAT和本端或远端在NAT设备后面,我们这次先测试“站点之间没有NAT”;试用模板进行配置时,远端设备类型仅支持FortiGate和Cisco,如果使用其他设备,需要选择“自定义”的模板类型。下面还有一个简单的示意图。我们只要配置一个名称就可以了。
第二步是“认证”,远端设备配置为IP地址12.1.1.2,此时默认匹配到了流出接口为port3;认证方法选择“预共享密钥”,并配置密钥。
第三步是“策略&路由”,配置要绑定策略的本地接口,以及本地和远端子网信息即可。在选择本地接口之后,会自动带入接口所属的子网信息。
第四步是“回顾设置”,比较不友好的是,我们都是设置的具体地址什么的,这里全都转换成了对象,完全看不到内容,检查了约等于没检查。
点击“完成”之后,就可以查看对象摘要信息了。
或者到“IPsec隧道”中查看隧道状态,红色的向下箭头表示状态不活跃,也就是未协商成功。
然后,我们对照着配置一下VM47,为了方便观察,使用英文的配置页面。
在“VPN”下的“IPsec Wizard”下面,第一步是“VPN Setup”。Template type选择默认的Site to Site,NAT configuration选择默认的No NAT between sites,Remote device type选择FortiGate。
第二步是“Authentication”,Remote device选择IP Address,Remote IP address配置为12.1.1.1,Outgoing Interface默认匹配到了port2;Authentication method选择“Pre-shared key”,并配置Pre-shared key密钥。
第三步是“Policy & Routing”,配置要绑定策略的本地接口Local interface,以及Local subnets本地子网信息和Remote Subnets远端子网信息即可。
第四步是“Review Settings”。
点击“Create”之后,就可以查看Object Summary对象摘要信息了。
然后我们可以在“VPN”下的“IPsec Tunnels”中查看隧道列表信息。
按照指导,正常此时就完成配置了,但是事情远没有这么简单。可以看到状态为黄色,提示为“阶段2隧道未配置”;同时我们注意到他提示了一个“IPsec阶段1接口”forti,也是未配置的状态。
我们先编辑IPsec隧道配置,配置一个阶段2选择器,正常来讲我在第三步“策略&路由”配置的就是这个啊。但是配置完成又有新的报错,我也没有发现哪里是空的。
算了,还是使用自定义配置的。第一步的模板类型选择“自定义”。
剩下的都在第二步里面了,先要配置对端网络信息。
然后是认证和阶段1提案配置。
最后是阶段2选择器,其中包含阶段2提案配置。
配置完成之后,点击确定提交即可。同样的,我们配置好远端设备。
然后,我们再查看隧道状态,就已经是“已连接”状态了。
通过上面的“显示匹配日志”按钮,我们还可以查看协商过程。
还可以针对某个过程查看“细节”。
哎,难道是我不会操作?为什么照着手册配还总是踩坑呢?
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/2233.html
