0
点赞
收藏
分享

微信扫一扫

FortiGate跨境加速场景配置文档


  1. 项目背景
  1. 需求描述
  2. FortiGate跨境加速场景配置文档_SD-WAN


  3. 架构图
    如架构图所示,客户有北京和香港两个AWS环境,已经通过专线打通。现在需求是在北京和香港各部署一台Fortigate作为分流使用,北京客户的访问流量如果是要到海外则通过专线到香港的Fortigate出去。
  4. 测试步骤
  • 北京区和宁夏区部署Fortigate节点
  • 打通北京和宁夏两个Fortigate节点的IPSec VPN
  • 配置SSLVPN客户端到北京区FortiGate
  • 配置SD-WAN用于分流去往海外的流量
  1. 修改Fortigate时区和语言选择左侧System-Settings,在右侧修改时区为GMT+8区北京
  2. FortiGate跨境加速场景配置文档_跨境加速_02



  3. 如果想要修改语言可以往下拉修改
  4. FortiGate跨境加速场景配置文档_IPSec VPN_03



  5. 创建用户和组
  1. 创建用户用户用于登录VPN。选择左侧User&Device- User Definition- Create New
  2. FortiGate跨境加速场景配置文档_SD-WAN_04



  3. 选择Local User
  4. FortiGate跨境加速场景配置文档_IPSec VPN_05



  5. 输入用户名密码
  6. FortiGate跨境加速场景配置文档_FortiGate_06


  7. 后面都默认即可
  8. 创建用户组创建用户组
  9. FortiGate跨境加速场景配置文档_SD-WAN_07



  10. 起个名字,添加刚才创建的用户即可
  11. FortiGate跨境加速场景配置文档_跨境加速_08



  12. 北京区配置选择VPN-IPsec Tunnels,右侧选择Create New-IPsec Tunnel
  13. FortiGate跨境加速场景配置文档_IPSec VPN_09



  14. 之后如果选择模板部署后期还需要改动,所以我们选择自定义部署
    起个名字,选择自定义,下一步
  15. FortiGate跨境加速场景配置文档_SD-WAN_10


  16. 输入对端香港的内网地址和接口,NAT Traversal选择Forced,Dead Peer Detection选择OnIdle,其他默认即可。
  17. FortiGate跨境加速场景配置文档_SD-WAN_11



  18. 输入互相协商的初始秘钥Preshared-Key,其他保持默认
  19. FortiGate跨境加速场景配置文档_跨境加速_12


  20. 本地和远端的网段打通都输入0.0.0.0/0,具体的网段打通可以通过路由和策略控制,所以这里我们设置打通所有即可。
  21. FortiGate跨境加速场景配置文档_跨境加速_13


  22. 加密和认证算法只保留截图中几项即可。
    勾上自动协商。
  23. FortiGate跨境加速场景配置文档_SD-WAN_14


  24. 北京区接口配置完成
  25. FortiGate跨境加速场景配置文档_FortiGate_15



  26. 之后在左侧Network-Interfaces这里我们就能看到我们创建的VPN接口了
  27. FortiGate跨境加速场景配置文档_IPSec VPN_16



  28. 选择VPN接口,Edit
    定义一个VPN接口的IP和对端的VPN接口IP
    选择Ping协议用来测试VPN通道连通性
  29. FortiGate跨境加速场景配置文档_SD-WAN_17


  30. 之后配置一条接口策略
    左侧选择Policy&Objects-IPv4 Policy
    右侧输入名称,选择入流量端口,选择出流量端口为刚才创建的VPNtoHK
    源和目标选择全部放行
    NAT功能打开
  31. FortiGate跨境加速场景配置文档_FortiGate_18



  32. 测试的话我们可以打开全部日志收集功能
  33. FortiGate跨境加速场景配置文档_FortiGate_19



  34. 到此北京区的站到站VPN配置完成。


  35. 香港区配置过程和北京区是完全相同的。选择VPN-IPsec Tunnels,右侧选择Create New-IPsec Tunnel
    选择自定义部署,起个名字,选择自定义,下一步
  36. FortiGate跨境加速场景配置文档_跨境加速_20



  37. 输入北京区内网IP,选择端口,NAT Traversal选择Forced,Dead Peer Detection选择On Idle
  38. FortiGate跨境加速场景配置文档_IPSec VPN_21




  39. 填写相同的协商秘钥
  40. FortiGate跨境加速场景配置文档_SD-WAN_22



  41. 填写地址范围为全部,只留下AES和SHA的加密算法,勾选自动协商
  42. FortiGate跨境加速场景配置文档_IPSec VPN_23



  43. 配置接口IP
  44. FortiGate跨境加速场景配置文档_IPSec VPN_24



  45. 配置本端和对端IP,配置Ping协议用于测试连通性
  46. FortiGate跨境加速场景配置文档_跨境加速_25



  47. 配置接口策略
  48. FortiGate跨境加速场景配置文档_FortiGate_26


  49. 选择刚才创建的接口,配置源和目标范围,NAT功能打开
  50. FortiGate跨境加速场景配置文档_SD-WAN_27



  51. 策略配置完成
  52. FortiGate跨境加速场景配置文档_IPSec VPN_28



  53. 查看隧道状态,选择左侧Monitor,IPsec Monitor,看到右侧状态为启动
  54. FortiGate跨境加速场景配置文档_IPSec VPN_29



  55. 测试通道连通性
    登陆命令行Ping刚才设置的IPsec接口IP
    命令为execute ping x.x.x.x
  56. FortiGate跨境加速场景配置文档_IPSec VPN_30



  57. 如果不通可以用抓包命令查看
  58. FortiGate跨境加速场景配置文档_FortiGate_31




  59. 配置SSLVPN这个方式需要使用FortiClient软件登陆。
    选择左侧VPN,选择SSLVPN设置,右侧监听端口为Port1,端口号为10443(也可使用其他端口,避免与管理端口冲突)
  60. FortiGate跨境加速场景配置文档_跨境加速_32


  1. 指定DNS服务器(两种方式可选)
  1. 指定DNS服务器为FortiGate自己
  2. FortiGate跨境加速场景配置文档_FortiGate_33


  3. 之后设置DNS服务器,利用Fortigate分流不同的请求使用不同的DNS解析,例如配置到google.com的流量分流到8.8.8.8
    配置显示DNS Database,选择左侧特性可见,选择DNS Database
  4. FortiGate跨境加速场景配置文档_IPSec VPN_34


  5. 添加DNS服务器的SSL-VPN接口和port的监听
  6. FortiGate跨境加速场景配置文档_SD-WAN_35



  7. 选择SSL-VPN接口(选择递归表示到Gate的DNS请求会先查询DNS数据库,如果没有则会查询本地DNS配置)
  8. FortiGate跨境加速场景配置文档_FortiGate_36




  9. 配置DNS数据库,添加访问google时候的DNS代理
  10. FortiGate跨境加速场景配置文档_跨境加速_37


  11. 添加google地址
    权威需要取消勾选,如果勾上表示访问google时使用本地DNS
    之后指定DNS转发位置为8.8.8.88.8.4.4
  12. FortiGate跨境加速场景配置文档_FortiGate_38



  13. 之后到本地DNS位置设置本地DNS为114.114.114.114和阿里的223.5.5.5
  14. FortiGate跨境加速场景配置文档_FortiGate_39


  15. DNS服务器选择FortiGate配置完成

  16. 指定DNS服务器为其他服务器SSL-VPN设置里面DNS服务器直接指定地址
  17. FortiGate跨境加速场景配置文档_IPSec VPN_40



  18. 之后SSL-VPN设置,在全部用户和组里指定门户
  19. FortiGate跨境加速场景配置文档_SD-WAN_41



  20. 选择全部访问
  21. FortiGate跨境加速场景配置文档_FortiGate_42


  22. 修改SSL VPN Portal,左侧选择VPN,SSL VPN Portals,右侧选择刚才选择的full-access
  23. FortiGate跨境加速场景配置文档_IPSec VPN_43


  24. 关掉隧道分割
    如果打开的话可以给客户端流量设置路由,控制那部分流量走Gate,哪部分走本地。
  25. FortiGate跨境加速场景配置文档_IPSec VPN_44



  26. 打开这些功能
  27. FortiGate跨境加速场景配置文档_FortiGate_45


  1. 修改防火墙策略
  2. FortiGate跨境加速场景配置文档_IPSec VPN_46



  3. 入接口选择SSL-VPN接口,出接口选择所有
    源选择所有地址和用户组
  4. FortiGate跨境加速场景配置文档_FortiGate_47



  5. 日志全部打开
  6. FortiGate跨境加速场景配置文档_SD-WAN_48


  7. 测试SSL VPN连通性使用FortiClient软件,建立新连接
  8. FortiGate跨境加速场景配置文档_跨境加速_49



  9. 选择SSL VPN,输入名字,IP,接口,用户名,保存
  10. FortiGate跨境加速场景配置文档_FortiGate_50



  11. 选择连接,输入用户名和密码,连接
  12. FortiGate跨境加速场景配置文档_IPSec VPN_51



  13. 连接成功后可以看到流量产生
  14. FortiGate跨境加速场景配置文档_FortiGate_52



  15. 配置静态路由添加默认静态路由
    指定默认网关,选择接口为port1
  16. FortiGate跨境加速场景配置文档_SD-WAN_53



  17. 添加指向VPN的静态路由
    如果不配置SD-WAN
    新建静态路由,直接指定目标服务,如google服务,接口选择VPN接口
  18. FortiGate跨境加速场景配置文档_IPSec VPN_54


  19. 如果配置SD-WAN
    新建一条静态路由,可以直接选择全部地址,接口为VPN地址
    管理距离修改为1
    高级选项里优先级改为1
  20. FortiGate跨境加速场景配置文档_IPSec VPN_55



  21. 修改原来的默认路由
    管理距离改为1(保证两条默认路由同时生效)
    优先级改为0(port1的路由优先级更高)
  22. FortiGate跨境加速场景配置文档_FortiGate_56



  23. 修改完如下图
  24. FortiGate跨境加速场景配置文档_SD-WAN_57







  25. 如果设置的DNS为FortiGate,可以添加转发到其他DNS服务器的静态路由
    添加8.8.8.8,接口为VPN接口,管理距离为1,优先级为0
  26. FortiGate跨境加速场景配置文档_FortiGate_58



  27. 添加8.8.4.4,接口为VPN接口,管理距离为1,优先级为0
  28. FortiGate跨境加速场景配置文档_FortiGate_59



  29. 添加完成如下图所示
  30. FortiGate跨境加速场景配置文档_跨境加速_60




  1. 新建两个SD-WAN Zone
  2. FortiGate跨境加速场景配置文档_SD-WAN_61



  3. 创建一个本地Zone和一个GlobalZone,本地的流量打给port1,跨境流量打给VPN接口
  4. FortiGate跨境加速场景配置文档_跨境加速_62









  5. 本地Zone指定接口为port1,网关为默认的网关
  6. FortiGate跨境加速场景配置文档_跨境加速_63



  7. GlobalZone指定接口为VPN接口,网关为对端VPN接口连接的地址
  8. FortiGate跨境加速场景配置文档_IPSec VPN_64



  9. 添加本地和GlobalZone的接口
  10. FortiGate跨境加速场景配置文档_FortiGate_65


  11. FortiGate跨境加速场景配置文档_FortiGate_66


  12. 创建完成
  13. FortiGate跨境加速场景配置文档_SD-WAN_67



  14. 6.4版本不建议修改默认静态路由的接口,因为修改后会导致FortiGate控制台无法显示的问题,所以可以依然采取配置两条静态路由的方式配置。
    6.2版本可以如下图修改
  15. FortiGate跨境加速场景配置文档_SD-WAN_68










  16. 创建SD-WAN规则源地址为全部,选择用户组,添加目标服务
  17. FortiGate跨境加速场景配置文档_IPSec VPN_69



  18. 选择流出接口为手工设置,指定VPN接口优先
  19. FortiGate跨境加速场景配置文档_SD-WAN_70




  20. 创建一条默认规则,目标地址为全部,流出接口手工设置为port1
  21. FortiGate跨境加速场景配置文档_跨境加速_71


  22. 配置完成后,SD-WAN可以按照这两条规则选路,决定什么流量走VPN接口,什么流量走Port1


  23. 清理本地DNS缓存
  24. FortiGate跨境加速场景配置文档_SD-WAN_72


  25. 升级Internet服务数据库默认Internet服务数据库可能没有更新,所以并不包括要访问的服务,比如google,所以需要更新。两种方式,一种是在命令行输入命令,一种可以在portal上下载之后手动上传。
  26. FortiGate跨境加速场景配置文档_跨境加速_73



  27. 用命令行升级固件
  28. FortiGate跨境加速场景配置文档_IPSec VPN_74








  29. 在Portal上下载升级包
  30. FortiGate跨境加速场景配置文档_FortiGate_75


  31. FortiGate跨境加速场景配置文档_SD-WAN_76


  32. 命令行修改静态路由如果修改了静态路由,将目标定义成了SD-WAN之后导致console打不开,可以将静态路由改回来,用如下命令
  33. FortiGate跨境加速场景配置文档_SD-WAN_77


  34. FortiGate跨境加速场景配置文档_IPSec VPN_78





  35. 查看FortiGate路由表选择仪表板,网络,Routing
  36. FortiGate跨境加速场景配置文档_FortiGate_79



  37. 右键菜单位置,显示优先级
  38. FortiGate跨境加速场景配置文档_IPSec VPN_80



  1. 配置IPSec VPN
  2. 配置客户端接入VPN(SSL VPN、PPTP、L2TP、IOS )
  3. 配置SD-WAN
  4. 常用命令和配置
  5. 问题提示
  1. 配置步骤
  • 如果修改SSL-VPN设置的话,FortiClient会掉线,需要重新连接
举报

相关推荐

0 条评论