FortiGate在AWS上配置客户端方法
- 项目背景
- 需求描述
架构图
如架构图所示,客户有北京和香港两个AWS环境,已经通过专线打通。现在需求是在北京和香港各部署一台Fortigate作为分流使用,北京客户的访问流量如果是要到海外则通过专线到香港的Fortigate出去。
- 测试步骤
- 北京区和宁夏区部署Fortigate节点
- 打通北京和宁夏两个Fortigate节点的IPSec VPN
- 配置SSLVPN、PPTP、L2TP、安卓或IOS客户端到北京区Fortigate
- 配置SD-WAN用于分流去往海外的流量
- 测试环境=====北京区=====
54.223.163.85
10.0.1.202
instance-id: i-0852bc90ebdfb348a
=====香港区=====
18.166.81.208
10.1.0.62
instance-id:i-0bb69c9c7ae9afefc
安全组
ipsec vpn隧道建立,需要开放udp 500和4500
两台Fortigate关闭源和目标检查 - 修改Fortigate时区和语言选择左侧System-Settings,在右侧修改时区为北京
如果想要修改语言可以往下拉修改
- 创建用户和组
- 创建用户选择左侧User&Device- User Definition- Create New
选择Local User
输入用户名密码
后面都默认即可
- 创建组创建用户组
起个名字,添加刚才创建的用户即可
- 配置SSLVPN这个方式需要使用FortiClient软件登陆。
选择左侧VPN,选择SSLVPN设置,右侧监听端口为Port1,端口号为10443
指定DNS服务器为Fortigate自己,利用Fortigate分流不同请求使用不同的DNS解析。
创建一个新的Portal
选择全部访问
修改SSL VPN Portal,左侧选择VPN,SSL VPN Portals,右侧选择刚才选择的full-access
关掉分流功能,如果打开的话可以给客户端流量设置路由。
打开这些功能
配置一条SSL VPN策略
入接口选择SSL-VPN接口,出接口选择所有
源选择SSLVPN地址和用户组
日志全部打开
- 测试SSLVPN连通性使用FortiClient软件,建立新连接
选择SSL VPN,输入名字,IP,接口,用户名,保存
选择连接,输入用户名和密码,连接
连接成功后可以看到流量产生
- 配置PPTP命令行里输入配置PPTP,指定分配的起止地址
指定用户组
配置完成,输入end
返回控制台,配置PPTP地址段
左侧选择策略,地址,创建
输入刚才指定的IP地址范围
打开多接口策略
左侧选择系统,功能可见,多接口策略勾上,勾上后创建策略的时候的目标就可以选择多个接口,也可以选择全部接口。
之后策略配置在创建完L2TP后一起配置。
- 配置L2TP配置L2TP和之前一样,指定起止IP,指定用户组
配置完成,输入end
返回控制台,配置L2TP地址段,可以直接克隆刚才PPTP的策略做修改
克隆后改个名字
修改地址段范围
之后创建策略
入接口选择Port1,出接口选择any,也就行包括了VPN接口和Port1,源选择刚才创建的PPTP和L2TP池,目标选择全部,服务选择全部
日志选择所有日志
- 测试PPTP连通性Windows主机找到设置, VPN,添加VPN
输入服务器IP(公网),选择类型PPTP,用户名和密码,之后保存,连接即可
- 配置IOS添加IOS地址池,可以从之前的PPTP克隆
修改分配的地址段
命令行配置IOS客户端接入
指定DNS Server内网IP
指定IOS池名字
配置一些其他参数
添加一条新策略
入端口选择刚才创建的iosvpn端口,出端口选择SD-WAN
源选择ios-pool和用户组,目的为全部,服务也是全部
测试连接成功
- 配置客户端接入VPN(SSL VPN、PPTP、L2TP、IOS )
- 备份和恢复配置方式
- 项目测试
右上角选择备份或者恢复
指定位置保存即可
