子网重叠IPSec VPN配置方法（通道模式）
2012-12-24 15:02:48   来源：   评论：0 点击：

本文档针对所有FortiGate设备配置子网重叠IPSec VPN进行说明。当配置VPN互联时，如果两端的子网有重叠但又不能更改任何一端的网络就需要使用NAT的方式进行地址转换，才能让VPN连通。一般情况下不建议VPN的两端使用重叠地址。
环境介绍：
本文使用FortiGate500A、FortiGate310B做演示。本文支持的系统版本为FortiOS v3.0 MR3或更高。
拓扑说明：


FortiGate500A：本端网络，192.168.4.0/24；对端网络，192.168.66.0/24
本端NAT后网络：192.168.65.0/24
FortiGate310B：本端网络，192.168.4.0/24；对端网络，192.168.65.0/24
本端NAT后网络：192.168.66.0/24
下面为500A的配置，310B基本相同，只是在网络地址上与500A相对应。
步骤一：配置IPSec阶段一
在虚拟专网----IPSEC----IKE中创建阶段一
IP地址：对端外网接口IP
认证方式为预共享密钥
启用NAT穿越




步骤二：配置IPSec阶段二
点击创建阶段二，名称为to310bp2
选择上步中的阶段一名称


编写好后点击OK。
在CLI输入的命令：
config vpn ipsec phase2
edit to310bp2
set use-natip disable
end
步骤三：配置防火墙地址
在防火墙----地址中创建两端地址
本端：192.168.4.0/24


对端：192.168.66.0/24


步骤四：配置防火墙策略
在防火墙----策略中点击创建
源接口：内网接口 目的接口：外网接口
源地址：in 目的地址：310b
VPN通道：to310b
勾选Outbound NAT


创建好后在CLI下输入命令：
config firewall policy
edit 11 注：11为该策略ID
set natip 192.168.65.0/24 将本端192.168.4.0/24转换为192.168.65.0/24出网
end
步骤五：察看VPN状态
在虚拟专网----IPSEC----动态VPN监视器中察看VPN状态
点击启动则建立VPN连接，连接建立后为绿色向上箭头
相关命令：
dia deb en
diagnose debug application ike 2 察看ike协商
diagnose vpn tunnel list 察看vpn通道