设置FortiGate IPSEC VPN 策略服务器（通道模式）
2012-12-24 15:04:25   来源：   评论：0 点击：

说明：
本文档针对所有FortiGate设备IPSEC VPN服务器（通道模式）配置进行说明。所谓IPSEC VPN服务器同思科的Easy VPN原理相似。远端的PC通过FortiClient软件与FortiGate实现VPN互联。在服务器模式下PC端的配置非常简单，只需要 FortiGate的公网IP和认证的帐号、密码就可以实现互联，不需要其它配置，适用于大量客户端部署。
环境介绍：


本文使用FortiGate5001 做演示。本文支持的系统版本为FortiOS v3.0及更高。本文档只适用于通道模式，并要启用DHCP over IPSEC。
防火墙后面的网段为10.10.115.0/24，10.10.116.0/24，10.10.117.0/24。
防火墙给拨号的用户分配的网段为10.10.118.0/24
步骤一：配置阶段一
首先在虚拟专网IPSEC中新建阶段一，远程网关为连接用户，选择主模式




步骤二：配置阶段二
在虚拟专网IPSEC中新建阶段二，在快速模式选择器中源地址为防火墙后面的网段，本例将其汇总为10.10.0.0/16；目标地址为防火墙给拨号的用户分配的网段10.10.118.0/24，注这里必须要写源和目的地址。


步骤三：配置DHCP
在系统----DHCP----防火墙的外部接口下新建DHCP服务器，类型为IPSEC


步骤四：配置用户组
在策略服务器模式中需要客户端提供帐号和密码，因此需要在设置用户----本地中写好用户信息。

然后将所有VPN用户放到一个组中

步骤五：配置策略服务器
在CLI下输入下列命令：
config vpn ipsec forticlient 进入策略服务器配置
edit "1" 新建一个策略
set phase2name "topc-p2" 定义阶段二名称，本例为topc-p2
set usergroupname "g1" 定义用户组，本例为g1
next
end
步骤六：配置策略
在防火墙----策略中新建VPN策略
源地址：10.10.0.0/16
目的地址：10.10.118.0/24
模式：IPSEC


步骤七：配置FortiClient
在PC的FortiClient----VPN中点击高级----增加，配置为自动，policy服务器为防火墙外网接口ＩＰ

点击连接，在弹出的对话框中输入帐号和密码

步骤八：连接VPN
连接后在防火墙上可以看到连接状态


在ＤＨＣＰ中可以看到租出的地址