防火墙vpn

FortiGate防火墙3.0版本与Forticlient的VPN设置方法

总部（中心端）的设置

一、定义本地（中心端）的内部网络地址

1.点击菜单“防火墙”“地址”“新建”

2.在地址名称中写入自定义的名称（如：lan），IP地址栏里填入本地网络地址和掩码

（如：192.168.3.0/255.255.255.0）

二、定义VPN通道阶段一的安全关联

1.点击菜单“虚拟专网”“IPSec”“创建阶段1”

2.在“名称”中任意填写一个自定义的名字

3.远程网关选择“连接用户”

4.本地接口选择“WAN1”（当前的公网接口）

5.模式选择“野蛮模式”（服务器端采用FG,客户端为ADSL拨号使用Forticlient软

件,这种情况VPN的连接模式要采用野蛮模式,尽量减少协商的会话）

6.在预共享密钥里填入自定义的密码（两端设置要相同）

7．加密算法选择DES，认证为MD5（forticlient测试版只支持这种加密方式）

8．DH组选择1。其他默认。

三、定义VPN通道阶段二的安全关联

1.点击菜单“虚拟专网”“IPSec”“创建阶段2”

2.在名称中填入自定义的通道名称（任取）

3.阶段一选择在在上一步中建立的网关名称

4.加密算法选择DES，认证为MD5（forticlient测试版只支持这种加密方式）

组选择1，启用保持存活，其他默认。

四、建立VPN通道的加密策略

1.点击菜单“防火墙”“策略”“新建”

2.源接口区选择从“internal”，地址选择代表本地网段地址的名称

3.目的接口区选择“wan1”（当前的公网接口），地址名选择all

4.模式选“IPSEC”

通道选择在阶段二中建立的通道名称。其他默认。

注：建议将VPN策略移到顶部位置。源地址一定要设,不提倡使用ALL。

客户端的设置

FortinetClinet设置方法

下面介绍有关FORTICLIENT的设置方法：

1、打开FortinetClinet后，点击增加，会出现一个新建连接，连接名随意起一个，远

程网关为Fortinet防火墙的外网IP，远程网络地址为内网IP和子网掩码。共享密钥2边

设置为一样既可。然后点击高级，进行下一步设置。（客户端不应该使用XAUTH及虚拟地址

两个选项,这两点都要与服务器相关联,否则VPN不能建立）

2、模式设置为野蛮模式，DH组选1，加密设置为默认的DES,MD5既可。然后，在高级选

项中把回放攻击探测的钩去掉,把完全转发安全性、自动重建密钥和NAT穿透3个选项

的钩选上，然后后点击确定就完成了全部设置。

3、全部设置完后，点击连接，回出现一个协商表，显示协商成功表示连接成功，这样，就

完成一个IPSEC的VPN连接。

特殊情况：

如果FG后面接三层交换机并划分多个VLAN，而需要与其中一个网段做IPSEC的VPN时，

只需要在策略里源地址定义成这个内网段，并且在对方那边也做相应设置就可以做通，当然

前提是在FG上先要做好静态路由（FG跟FGClient之间基于IPSEC的VPN和FG与单机之间

基于PPTP的VPN都可以）。