【简介】经常有人问可不可以通过SSL VPN到达某个防火墙,再通过防火墙与防火墙之间的IPsec VPN访问另一台防火墙后的电脑。这是可以做到的!我们在前面已经创建好IPsec VPN和SSL VPN,现在我们来试着把SSL VPN与IPsec VPN串联起来访问。
我们在广州有一台FortiGate 200D防火墙,深圳有一台FortiGate 500D防火墙,两台防火墙中间已经用IPsec VPN连接。
① 我们要做到的是:通过远程SSL VPN登录200D,再访问500D的192.168.28.0网段。
在上一篇文章中,配置SSL VPN门户时,已经限制了访问对象,只允许SSL VPN用户访问200D的172.16.1.0网段。我们需要再添加一个允许访问500D的网段。
① 登录广州FortiGate 200D防火墙,在地址对象里,我们看到前面已经生成了一个500D的内网的地址对象,如果没有这个地址就新建一个。
② 选择菜单【虚拟专网】-【SSL-VPN门户】,选择【full-access】,点击【编辑】。
③ 在【启用隧道分割】的路由地址里加入远程地址对象。
④ 再次用电脑客户端FortiCliet远程登录SSL VPN,我们会看到生成的路由表中,只要访问172.16.1.0和192.168.28.0这两个网段,都会走SSL VPN隧道。
虽然SSL VPN用户访问192.168.28.0网段能到达200D,而静态路由也指向IPsec VPN虚拟接口,但是由于我们在IPsec VPN设置中,只允许172.16.1.0和192.168.28.0互访,而SSL VPN登录防火墙时产生的IP地址是192.168.168.0网段,因此,SSL VPN的访问虽然能到达200D,但仍然不能到达500D,解决的办法就是再建一条隧道,允许SSL VPN地址段与192.168.28.0互访。
① 在前面的IPsec VPN设置文章中,我们只建立了一条访问隧道,限定了IP地址网段,如果允许SSL VPN也能访问,需要再建立一条隧道。
② 为了方便理解,我们把SSL VPN当作是防火墙的另一个内网接口,这样我们就再建立一个内网的地址对象,内容为SSL VPN自动分配的地址段。
③ 选择菜单【虚拟专网】-【IPsec隧道】,选择已经建立的Ipsec VPN,点击【编辑】。
④ 在【阶段2选择器】,我们看到已经有一条隧道存在,点击【添加】,再新建第二条隧道。
⑤ 输入第二条隧道名,和第一条隧道一样选择【地址命名】,选择本地址对象2和远程地址对象,加密等能参数,与第一条隧道内容相同就可以了。
⑥ 由于SSL VPN和内网口都是访问同一个远程地址,因此静态路由就不需要更改了。
⑦ 新建一条允许SSL VPN虚拟接口访问IPsec VPN虚拟接口的策略,SSL VPN的虚拟接口还是需要指定地址与用户。
⑧ 如果需要500D能访问SSL VPN连接的电脑,就再建一条允许IPsec VPN虚拟接口访问SSL VPN虚拟接口的策略。
200D创建好第二条隧道后,500D同样也要创建第二条隧道。
① 在500D上创建一条访问对方SSL VPN地址的地址对象。
② 编辑IPsec VPN,在【阶段2选择器】新建一条隧道,和第一条隧道一样,只是远端地址为对方SSL VPN地址。
③ 如果需要500D访问对方SSL VPN拨号电脑,还需要建立一条静态路由,当访问对方SSL VPN地址时走IPsec VPN隧道到达200D,再通过200D到达SSL VPN拨号电脑。
④ 修改内网到IPsec VPN虚拟接口策略,在目的加入远程SSL VPN地址。
⑤ 修改IPsec VPN虚拟接口到内网接口策略,在源地址加入远程SSL VPN地址。
⑥ 由于在阶段2的设置里选择了自动协商,因此配置好后,隧道自动连接,因此可以看到有两条隧道是连接状态。
IPsec VPN的第二条隧道通了,SSL VPN访问两个地址都能到达200D,现在我们测试一下能不能再通过IPsec VPN达到500D。
① 将笔记本电脑连接手机热点,和200D及500D用的不同的宽带,FortiClient客户端拨号到200D,生成临时分配的SSL VPN地址192.168.168.1。
② 首先Ping的是200D的内网接口地址,可以Ping通,然后再Ping的是500D的内网接口地址,也可以Ping通。说明笔记本电脑通过SSL VPN到达200D,然后再通过IPsec VPN到达了500D。
③ 在500D上,定义内网源接口地址后Ping笔记本电脑的SSL VPN地址,也可以Ping通。双向访问成功。
