Branch Office VPN > Branch Office VPN 示例 > VPN 互操作性:Fireware XTM 到 Fortinet FortiGate

VPN 互操作性:Fireware XTM 到 Fortinet FortiGate

对于网络以及主机和网络的组合来说,Branch Office Virtual Private Network (BOVPN) 隧道是通过 Internet 交换数据的安全方式。 本主题说明如何在 XTM 设备和 Fortinet FortiGate(操作系统 v4.0 MR3)设备之间定义手动 BOVPN 隧道。 创建 BOVPN 隧道之前,必须收集每个端点的 IP 地址,并确定要使用的常用隧道设置。

本主题不会详细说明不同的 BOVPN 设置及其对现有隧道的影响。 如果希望了解有关特定设置的更多信息,请参阅:

WatchGuard 提供互操作性说明,以帮助我们的客户配置 WatchGuard 产品,从而使其与其他组织创建的产品配合使用。 如果需要关于配置非 WatchGuard 产品的更多信息或技术支持,请参阅该产品的相关文档和支持资源。

配置 XTM 设备

在此过程中,会配置 XTM 设备以使用匹配 FortiGate 设备的默认设置的第 1 阶段和第 2 阶段设置。

在 XTM 设备上添加 VPN 网关

从 Fireware XTM Web UI:

  1. 选择“VPN” > “Branch Office VPN”
    将显示“Branch Office VPN”配置页面,其顶部为“网关”列表。
  2. 要添加网关,可单击“网关”列表旁边的“添加”
    将显示网关设置页面。
  3. “网关名称”文本框中,键入用于标识此网关的名称。
  1. 选择“使用预共享的密钥”。 键入共享密钥。
    该共享密钥必须仅使用标准 ASCII 字符。 它必须与在 FortiGate 设备上使用的密钥匹配。
  2. “网关端点”部分中,单击“添加”
    将显示“网关端点设置”对话框。
  1. “本地网关”部分中,选择“按 IP 地址”。 键入 XTM 设备的外部(公用)IP 地址。
  2. “外部接口”下拉列表,选择具有 XTM 设备上的公用 IP 地址的外部接口。
  3. “远程网关”部分中,选择“静态 IP 地址”。 键入 FortiGate 设备的外部(公用)IP 地址。
  4. “为隧道认证指定网关 ID”部分中,选择“按 IP 地址”。 键入 FortiGate 设备的公用 IP 地址。
  5. 单击“确定”关闭“网关端点设置”对话框。
    “网关端点”列表中将显示已定义的网关对。

在 XTM 设备上配置第 1 阶段设置

  1. 单击“第 1 阶段设置”选项卡。
  1. “转换设置”列表中,选择默认的“第 1 阶段转换”。 单击“编辑”
    将显示“转换设置”对话框。
  1. “密钥组”下拉列表,选择“Diffie-Hellman 组 5”
    这与 FortiGate 设备上的默认密钥组相匹配。
  2. 单击“确定”
  3. 单击“保存”
    将显示“Branch Office VPN”页面,其中已添加网关。

向 XTM 设备添加 VPN 隧道

定义网关后,就可以在这些网关之间创建隧道。 此过程分为两个步骤:

要添加隧道:

  1. “Branch Office VPN”页面上,单击“隧道”列表旁边的“添加”
    将显示“隧道”配置页面。
  1. “隧道名称”文本框中,为此隧道键入有意义的名称。
  2. “网关”下拉列表,选择为 Fortinet 设备配置的网关。
  3. “地址”选项卡中,单击“添加”以添加隧道路由。
    将显示“隧道路由设置”对话框。
  1. “本地 IP”部分中,选择“网络 IP”。 然后键入要使用 VPN 隧道的 XTM 设备上的本地网络的子网 IP 地址。
  2. “远程 IP”部分中,选择“网络 IP”。 然后键入要使用 VPN 隧道的 FortiGate 设备上的远程网络的子网 IP 地址。
  3. 单击“确定”,添加隧道路由。
    隧道路由随即添加到“隧道”页面的“地址”选项卡。
  4. 单击“第 2 阶段设置”选项卡。
  5. 选中“启用 Perfect Forward Secrecy”复选框。 选择“Diffie-Hellman 组 5”
    它与 FortiGate 设备上 PFS 的默认 Diffie-Hellman 组匹配。
  6. 从“第 2 阶段方案”列表下的下拉列表,选择“ESP-3DES-SHA1”
  7. 单击“添加”将此 IPSec 方案添加到隧道。
  8. 选择添加的“ESP-3DES-SHA1”方案。 单击“上移”将其移动到“第 2 阶段方案”列表的顶部。
  1. 单击“保存”
    Branch Office VPN 隧道已保存。 自动创建 BOVPN-Allow.out 和 BOVPN-Allow.in 这两个防火墙策略,以允许通过两个网络之间的隧道传输流量。

配置 FortiGate 设备

在 FortiGate 基于 Web 的管理软件中:

  1. 选择“防火墙对象” > “地址” > “地址”
  1. 单击“新建”为本地 FortiGate 网络定义地址范围。
  1. 单击“新建”定义远程 XTM 设备的地址范围。
  1. 选择“VPN” > “IPSec” > “自动密钥 (IKE)”
  1. 单击“创建第 1 阶段”
    将显示“新建第 1 阶段”页面。
  1. “名称”文本框中,键入用于标识第 1 阶段配置的有意义的名称。
  2. “远程网关”下拉列表选择“静态 IP 地址”
  3. “IP 地址”文本框中,键入 XTM 设备的外部 IP 地址。
  4. “本地接口”下拉列表选择 WAN 接口。
  5. “认证方法”下拉列表选择“预共享密钥”。
  6. “预共享密钥”文本框中,键入共享密码。
    密钥只能使用标准 ASCII 字符。 它必须与 XTM 设备上使用的密钥相匹配。

无需更改任何高级第 1 阶段设置,因为 XTM 设备已配置为与 FortiGate 设备上的默认设置相匹配。

  1. 单击“确定”
  2. 单击“创建第 2 阶段”
    将显示“新建第 2 阶段”页面。
  1. “名称”文本框中,键入用于标识第 2 阶段配置的有意义的名称。
  2. “第 1 阶段”下拉列表选择刚创建的第 1 阶段配置。
  3. 对于“源地址”,选择在步骤 2 中创建的本地地址。
  4. 对于“目标地址”,选择在步骤 3 中创建的远程地址范围。

无需更改任何其他第 2 阶段方案设置,因为 XTM 设备已配置为与 FortiGate 设备上的默认设置相匹配。

  1. 单击“确定”

FortiGate 设备不会自动配置匹配的防火墙规则,所以必须手动执行此操作。

  1. 选择“策略” > “策略” > “策略”
  1. 单击“新建”
    将显示“新建策略”页面。
  1. “源地址”下拉列表选择在步骤 2 中创建的本地地址范围。
    这是要使用此 VPN 隧道的本地 FortiGate 网络的地址范围。
  2. “目标地址”下拉列表选择在步骤 4 中创建的目标地址范围。
    这是要使用此 VPN 隧道的远程 XTM 设备网络的地址范围。
  3. “VPN 隧道”下拉列表选择在步骤 15 中创建的第 2 阶段隧道配置的名称。
  4. 单击“确定”

在两个设备上完成配置后,会连接隧道。

监视隧道

要通过 FortiGate 管理软件监视隧道,请选择“VPN” > “监视器” > “IPSec 监视器”

要通过 WatchGuard 管理软件监视隧道,请连接到具有 WatchGuard System Manager 的 XTM 设备,并展开设备的详细信息。 展开 Branch Office VPN 隧道部分查看关于 VPN 隧道的详细信息。

提供反馈  •   获得支持  •   全部产品文件  •   知识库