fortigate防火墙3[1].0版本与forticlient的vpn设置方法

FortiGate防火墙3.0版本与Forticlient的VPN设置方法
总部（中心端）的设置
一、定义本地（中心端）的内部网络地址
1.点击菜单“防火墙”→“地址”→“新建”
2.在地址名称中写入自定义的名称（如：lan），IP地址栏里填入本地网络地址和掩码
（如：192.168.3.0/255.255.255.0）
二、定义VPN通道阶段一的安全关联
1.点击菜单“虚拟专网”→“IPSec”→“创建阶段1”
2.在“名称”中任意填写一个自定义的名字
3.远程网关选择“连接用户”
4.本地接口选择“WAN1”（当前的公网接口）
5.模式选择“野蛮模式”（服务器端采用FG,客户端为ADSL拨号使用Forticlient软
件, 这种情况VPN的连接模式要采用野蛮模式,尽量减少协商的会话）
6.在预共享密钥里填入自定义的密码（两端设置要相同）
7．加密算法选择DES，认证为MD5（forticlient测试版只支持这种加密方式）
8．DH组选择1。

其他默认。

三、定义VPN通道阶段二的安全关联
1.点击菜单“虚拟专网”→“IPSec”→“创建阶段2”
2.在名称中填入自定义的通道名称（任取）
3.阶段一选择在在上一步中建立的网关名称
4.加密算法选择DES，认证为MD5（forticlient测试版只支持这种加密方式）
5.DH组选择1，启用保持存活，其他默认。

四、建立VPN通道的加密策略
1.点击菜单“防火墙”→“策略”→“新建”
2.源接口区选择从“internal”，地址选择代表本地网段地址的名称
3.目的接口区选择“wan1”（当前的公网接口），地址名选择all
4.模式选“IPSEC”
5.VPN通道选择在阶段二中建立的通道名称。

其他默认。

注：建议将VPN策略移到顶部位置。

源地址一定要设,不提倡使用ALL。

客户端的设置
FortinetClinet设置方法
下面介绍有关FORTICLIENT的设置方法：
1、打开FortinetClinet后，点击增加，会出现一个新建连接，连接名随意起一个，远程网关为Fortinet防火墙的外网IP，远程网络地址为内网IP和子网掩码。

共享密钥2边设置为一样既可。

然后点击高级，进行下一步设置。

（客户端不应该使用XAUTH及虚拟地址两个选项,这两点都要与服务器相关联,否则VPN不能建立）
2、模式设置为野蛮模式，DH组选1，加密设置为默认的DES,MD5既可。

然后，在高级选
项中把回放攻击探测的钩去掉,把完全转发安全性、自动重建密钥和NAT穿透3个选项的钩选上，然后后点击确定就完成了全部设置。

3、全部设置完后，点击连接，回出现一个协商表，显示协商成功表示连接成功，这样，就完成一个IPSEC的VPN连接。

特殊情况：
如果FG后面接三层交换机并划分多个VLAN，而需要与其中一个网段做IPSEC的VPN时，只需要在策略里源地址定义成这个内网段，并且在对方那边也做相应设置就可以做通，当然前提是在FG上先要做好策略路由（FG跟FGClient之间基于IPSEC的VPN和FG与单机之间基于PPTP的VPN都可以）。