技術文章 >

如何在 Vigor Router 與 Fortigate 之間建立 VPN 連線 II

本範例以Vigor2930 為例和 Fortigate 建立VPN 連線。


Vigor2930 的相關資訊:
WAN IP : 220.220.123.214
Network IP : 192.168.2.0
Network Mask : 255.255.255.0
Firmware Version: v3.3.2

Fortigate 的相關資訊:
WAN IP : 210.210.222.211
Network IP : 192.168.1.0
Network Mask : 255.255.255.0
Firmware Version: v5.2.5,build701 (GA)

Fortigate 的設定:


1. 進入Fortigate 設定畫面中,點選VPN --> IPSEC--> Wizard --> Custom VPN Tunnel。

 

2. 將此設定輸入一個名稱,然後在遠程網路閘和IP 地址分別輸入Vigor2930 IP 的模式和IP 位址。接著在Interface 選擇要和Vigor2930 建立VPN 的port ( 也就是Fortigate 對外連線的port ),認證方法選擇Preshared Key,然後輸入您欲設定的Pre-shared Key 密碼,再按下進階選項進行下一步的設定。

 

3. 在Phase 1 Proposal 設定中須注意加密演算法需和Vigor2930 上的設定對應,在DH 組選擇1,密鑰週期輸入28800。

 

4. 接著進入XAuth的設定

 

5. 接著進入Phase2 的設定,將啟發完全轉發安全性(PFS) 取消勾選,密鑰週期輸入3600 秒。在Local Address 輸入Fortigate 的Network IP/Subnet Mask,在RemoteAddress 輸入Vigor2930 的Network IP/Subnet Mask。

     

6. 接著要設定Objects,點選Policy & Objects--> Objects--> Create New。輸入Vigor2930 的Network IP/Subnet Mask。

 

7. 接著要設定Policy,第一條的走向是由Fortigate去Vigor2930。
點選Policy & Objects--> Policy--> --> Ipv4 --> Create New。在來源介面選擇FortigateLAN 端的介面,來源位址也是FortigateLAN。目的介面選擇Fortigate VPN Tunnel端的介面,目的位址是Vigor2930 的Network IP/Subnet Mask。Firewall 不要用NAT。

 

8. 接著要設定Policy,第二條的走向是由Vigor2930去Fortigate。
點選Policy & Objects--> Policy--> --> Ipv4 --> Create New。在來源介面選擇Fortigate VPN Tunnel端的介面,來源位址是Vigor2930 的Network IP/Subnet Mask。目的介面選擇FortigateLAN端的介面,目的位址也是FortigateLAN。Firewall 不要用NAT。 

 

9. 接著要設定到Vigor2930 的靜態路由,點選System --> Network --> Routing --> Create New。在目的地IP/網路遮罩輸入Vigor2930 LAN 端的網段和網路遮罩,在設備選擇Fortigate VPN Tunnel端的介面(此設定表示到192.168.2.0 網段的封包都經由我們指定的網路閘送出)。

 

Vigor2930 的設定:


1. 從Vigor web 設定主畫面點選VPN 與遠端存取 >> LAN to LAN。
2. 點選"索引編號1"進去之後,設定畫面如下:
a. 輸入"設定檔名稱"。
b. 勾選 "啟用此設定檔"來啟用此設定。
c. 點選 "撥出"或 "撥入"( 此範例 Vigor 當 撥出端,若Vigor 當 撥入端請跳到第3 項撥入設定)。
d. 將 閒置逾時設為0( 0:表示不斷線 )。
註[ 預設值是300 秒,表示300 秒內若沒封包進出就自動斷線。勾選永遠連線表示VPN 通道斷線後,會自動再撥起VPN 連線。]
e. 選擇IPSec 通道。
f. 輸入Fortigate 的Vigor WAN IP 位址或 網址。
g. 輸入IKE 預先共用金鑰 ( key 要跟Fortigate 端的預先共用金鑰一樣)。
h. 選擇認證和資料加密的方法( 這邊選的是ESP, 3DES, 這個也要跟Fortigate 端phase 2 的proposal 一樣)。
i. 點選IPSec 安全防護方式-"進階" (請看第二張圖) ,選擇 Main 模式及建議( 要跟Fortigate 端的phase 1, phase2 proposal 對應)。
j. 輸入Fortigate 內部遠端IP 位址及遮罩。
k. 按 確定,即完成Vigor 設定。

       

當封包要傳送到Fortigate 端時,會trigger VPN 自動連線。或者您可以到主畫面點選 VPN 與遠端存取 >> 連線管理按Dial。
當撥打VPN 連線成功,您可以看到VPN 連線狀態。

 

發布日期: 2016-06-22