Branch Office VPN > Branch Office VPN 示例 > VPN 互操作性:Fireware XTM 到 Fortinet FortiGate
VPN 互操作性:Fireware XTM 到 Fortinet FortiGate
对于网络以及主机和网络的组合来说,Branch Office Virtual Private Network (BOVPN) 隧道是通过 Internet 交换数据的安全方式。 本主题说明如何在 XTM 设备和 Fortinet FortiGate(操作系统 v4.0 MR3)设备之间定义手动 BOVPN 隧道。 创建 BOVPN 隧道之前,必须收集每个端点的 IP 地址,并确定要使用的常用隧道设置。
本主题不会详细说明不同的 BOVPN 设置及其对现有隧道的影响。 如果希望了解有关特定设置的更多信息,请参阅:
WatchGuard 提供互操作性说明,以帮助我们的客户配置 WatchGuard 产品,从而使其与其他组织创建的产品配合使用。 如果需要关于配置非 WatchGuard 产品的更多信息或技术支持,请参阅该产品的相关文档和支持资源。
配置 XTM 设备
在此过程中,会配置 XTM 设备以使用匹配 FortiGate 设备的默认设置的第 1 阶段和第 2 阶段设置。
在 XTM 设备上添加 VPN 网关
从 Fireware XTM Web UI:
- 选择“VPN” > “Branch Office VPN”。
将显示“Branch Office VPN”配置页面,其顶部为“网关”列表。
- 要添加网关,可单击“网关”列表旁边的“添加”。
将显示网关设置页面。
- 在“网关名称”文本框中,键入用于标识此网关的名称。
- 选择“使用预共享的密钥”。 键入共享密钥。
该共享密钥必须仅使用标准 ASCII 字符。 它必须与在 FortiGate 设备上使用的密钥匹配。
- 在“网关端点”部分中,单击“添加”。
将显示“网关端点设置”对话框。
- 在“本地网关”部分中,选择“按 IP 地址”。 键入 XTM 设备的外部(公用)IP 地址。
- 从“外部接口”下拉列表,选择具有 XTM 设备上的公用 IP 地址的外部接口。
- 在“远程网关”部分中,选择“静态 IP 地址”。 键入 FortiGate 设备的外部(公用)IP 地址。
- 在“为隧道认证指定网关 ID”部分中,选择“按 IP 地址”。 键入 FortiGate 设备的公用 IP 地址。
- 单击“确定”关闭“网关端点设置”对话框。
“网关端点”列表中将显示已定义的网关对。
在 XTM 设备上配置第 1 阶段设置
- 单击“第 1 阶段设置”选项卡。
- 在“转换设置”列表中,选择默认的“第 1 阶段转换”。 单击“编辑”。
将显示“转换设置”对话框。
- 从“密钥组”下拉列表,选择“Diffie-Hellman 组 5”。
这与 FortiGate 设备上的默认密钥组相匹配。
- 单击“确定”。
- 单击“保存”。
将显示“Branch Office VPN”页面,其中已添加网关。
向 XTM 设备添加 VPN 隧道
定义网关后,就可以在这些网关之间创建隧道。 此过程分为两个步骤:
- 指定路由(隧道的本地和远程端点)
- 在 XTM 设备上配置第 2 阶段设置,以匹配 FortiGate 设备上默认的第 2 阶段设置
要添加隧道:
- 在“Branch Office VPN”页面上,单击“隧道”列表旁边的“添加”。
将显示“隧道”配置页面。
- 在“隧道名称”文本框中,为此隧道键入有意义的名称。
- 从“网关”下拉列表,选择为 Fortinet 设备配置的网关。
- 在“地址”选项卡中,单击“添加”以添加隧道路由。
将显示“隧道路由设置”对话框。
- 在“本地 IP”部分中,选择“网络 IP”。 然后键入要使用 VPN 隧道的 XTM 设备上的本地网络的子网 IP 地址。
- 在“远程 IP”部分中,选择“网络 IP”。 然后键入要使用 VPN 隧道的 FortiGate 设备上的远程网络的子网 IP 地址。
- 单击“确定”,添加隧道路由。
隧道路由随即添加到“隧道”页面的“地址”选项卡。
- 单击“第 2 阶段设置”选项卡。
- 选中“启用 Perfect Forward Secrecy”复选框。 选择“Diffie-Hellman 组 5”。
它与 FortiGate 设备上 PFS 的默认 Diffie-Hellman 组匹配。
- 从“第 2 阶段方案”列表下的下拉列表,选择“ESP-3DES-SHA1”。
- 单击“添加”将此 IPSec 方案添加到隧道。
- 选择添加的“ESP-3DES-SHA1”方案。 单击“上移”将其移动到“第 2 阶段方案”列表的顶部。
- 单击“保存”。
Branch Office VPN 隧道已保存。 自动创建 BOVPN-Allow.out 和 BOVPN-Allow.in 这两个防火墙策略,以允许通过两个网络之间的隧道传输流量。
配置 FortiGate 设备
在 FortiGate 基于 Web 的管理软件中:
- 选择“防火墙对象” > “地址” > “地址”。
- 单击“新建”为本地 FortiGate 网络定义地址范围。
- 在“地址名称”文本框中,键入用于标识此地址范围的名称。
- 从“类型”下拉列表,选择“子网/IP 范围”。
- 在“子网/IP 范围”文本框中,键入要使用 VPN 隧道的 FortiGate 设备上的专用网络的 IP 地址。 这必须与在 XTM 设备的隧道路由中配置为远程地址的子网相匹配。
- 单击“确定”。
- 单击“新建”定义远程 XTM 设备的地址范围。
- 在“地址名称”文本框中,键入用于标识此地址范围的名称。
- 从“类型”下拉列表,选择“子网/IP 范围”。
- 在“子网/IP 范围”文本框中,键入要使用 VPN 隧道的 FortiGate 设备上的本地网络的 IP 地址。 这必须与在 XTM 设备的隧道路由中配置为本地地址的子网相匹配。
- 单击“确定”。
- 选择“VPN” > “IPSec” > “自动密钥 (IKE)”。
- 单击“创建第 1 阶段”。
将显示“新建第 1 阶段”页面。
- 在“名称”文本框中,键入用于标识第 1 阶段配置的有意义的名称。
- 从“远程网关”下拉列表选择“静态 IP 地址”。
- 在“IP 地址”文本框中,键入 XTM 设备的外部 IP 地址。
- 从“本地接口”下拉列表选择 WAN 接口。
- 从“认证方法”下拉列表选择“预共享密钥”。
- 在“预共享密钥”文本框中,键入共享密码。
密钥只能使用标准 ASCII 字符。 它必须与 XTM 设备上使用的密钥相匹配。
无需更改任何高级第 1 阶段设置,因为 XTM 设备已配置为与 FortiGate 设备上的默认设置相匹配。
- 单击“确定”。
- 单击“创建第 2 阶段”。
将显示“新建第 2 阶段”页面。
- 在“名称”文本框中,键入用于标识第 2 阶段配置的有意义的名称。
- 从“第 1 阶段”下拉列表选择刚创建的第 1 阶段配置。
- 对于“源地址”,选择在步骤 2 中创建的本地地址。
- 对于“目标地址”,选择在步骤 3 中创建的远程地址范围。
无需更改任何其他第 2 阶段方案设置,因为 XTM 设备已配置为与 FortiGate 设备上的默认设置相匹配。
- 单击“确定”。
FortiGate 设备不会自动配置匹配的防火墙规则,所以必须手动执行此操作。
- 选择“策略” > “策略” > “策略”。
- 单击“新建”。
将显示“新建策略”页面。
- 从“源地址”下拉列表选择在步骤 2 中创建的本地地址范围。
这是要使用此 VPN 隧道的本地 FortiGate 网络的地址范围。
- 从“目标地址”下拉列表选择在步骤 4 中创建的目标地址范围。
这是要使用此 VPN 隧道的远程 XTM 设备网络的地址范围。
- 从“VPN 隧道”下拉列表选择在步骤 15 中创建的第 2 阶段隧道配置的名称。
- 单击“确定”。
在两个设备上完成配置后,会连接隧道。
监视隧道
要通过 FortiGate 管理软件监视隧道,请选择“VPN” > “监视器” > “IPSec 监视器”。
要通过 WatchGuard 管理软件监视隧道,请连接到具有 WatchGuard System Manager 的 XTM 设备,并展开设备的详细信息。 展开 Branch Office VPN 隧道部分查看关于 VPN 隧道的详细信息。