FortiClient 用IPsec VPN 远程拨号到FortiGate说明文档
2012-12-24 14:55:10   来源：   评论：0 点击：

说明：
本文档针对IPsec VPN 中的Remote VPN 进行说明，即远程用户使用PC中的FortiClient软件，通过VPN拨号的方式连接到公司总部FortiGate设备，访问公司内部服务器。
在配置之前需要统一VPN策略和参数，如模式、加密算法、认证方式、DH组、密钥周期、XAUTH和对NAT、DPD的支持等。其中模式、加密算法、认证方式、DH组必须一致，否则建不起来VPN。
环境介绍：
本文使用FortiGate400A做VPN服务器，软件版本：Fortigate-400A 3.00-b0726(MR7)。FortiClient软件版本：3.0.603。
FortiGate端VPN配置：
阶段一：采用主模式，预共享密钥认证，支持3DES+SHA1、3DES+MD5
不启用XAUTH，支持NAT和DPD。
本地接口：指FortiGate的外网接口。

阶段二：支持3DES+SHA1、3DES+MD5；启用DHCP推送模式，即给连接的客户端分配IP。需要在FortiGate的DHCP中，对应接口（阶段一中本地接口）下配置DHCP服务器，类型为IPsec。

配置VPN策略：源端口为内网需要访问的端口，目标端口为VPN连接端口，VPN tunnel选中刚才建立的IKE


FortiClient端VPN配置：
步骤一：启动FortiClient，在VPN中选择高级，增加。
步骤二：在新建连接对话框中将配置设为手动。
远程网关：指FortiGate的外网接口地址，即阶段一中的本地接口地址。
远程网络：指FortiGate内部的私网地址段，即FortiGate内部接口连接的服务器地址段。
预共享密钥：与阶段一的密钥一致


步骤三：点击高级。
获取虚拟IP地址：勾选该项，在设置中选择在IPsec上运行动态地址分配协议。
扩展身份认证XAUTH：不用勾选。
远程网络：已经有一个写好的网络，可以根据需求增加其他网络。
点击划红线的设置进入步骤四。

步骤四：设置IKE（对应阶段一）和IPsec（对应阶段二）。这里的设置必须与阶段一和阶段二相同，否则无法建立连接。
IKE：
模式：主模式
策略中支持3DES+SHA1，3DES+MD5，AES128+SHA1，AES128+ MD5，注：只要有一个相符即可通过协商。
密钥周期：28800，对应阶段一。
DH组：５，对应阶段一。
IPsec：
策略中支持3DES+SHA1，3DES+MD5，AES128+SHA1，AES128+ MD5。
DH组：５，对应阶段二。
密钥周期：1800，对应阶段二。
高级选项：根据需求勾选，在本例中选择回放攻击探测、PFS、DPD、NAT。


步骤五：点击确定。在ＶＰＮ中出现一条策略，选择该策略并点连接。出现下图协商界面，成功后会在屏幕右下角增加一个网络连接，表明已从FortiGate获取IP地址。现在就可以访问FortiGate后面的服务器了！


步骤六：在VPN中选择监视器，可以监控当前的VPN连接，本地和远程网关，发送和接收的字节数。


步骤七：在VPN中选择当前策略并点击中断连接即可中断VPN。
步骤八：配置导出、导入。在VPN中点击当前策略，选择高级，导出或导入。
配置导出方便对大量FortiClient用户端做统一管理。