watchguard防火墙IPsecVPN建立配置文档

一、网络拓扑图：
Ip:10.0.1.2/24
设备一：公网Ip:192.168.18.201
内网Ip:10.0.1.0/24
设备二：公网Ip:121.89.245.259
内网Ip:192.168.17.0/24
Ip:192.168.17.2/24
二、IPsecVPN配置步骤
首先收集好要建立ipsec两端的信息
1、先对设备一进行配置，点击VPN下的Branch Office Gateway建立第一阶段
页脚内容1
打开配置第一阶段即网关配置后点击添加
首先先对第一阶段命名，也就是网关名称，再设置一个预共享密钥（如：12345678），再点击添加，添加对端网关和信息
页脚内容2
（1）可以按照IP地址进行设置，也可以按照域名信息来进行设置，先用IP地址来配，本地网关输入本地的公网IP，远程就输入对端的公网IP，如果对端是动态IP就勾上选动态IP（如：ADSL），但是如果是动态IP的话只能用按照域名来配置。

页脚内容3
（2）是按照域名来配置的，本地网关和远程网关均勾上“按域信息”
页脚内容4
点击本地网关的按域信息“配置”后勾上“按域名”，然后可以输入域名
页脚内容5
点击远程网关的按域信息“配置”后勾上“按域名”，然后可以输入域名
点击确定后便可以了
页脚内容6
接下来配置第二阶段，点击VPN下Branch Office隧道后点击添加
页脚内容7
为第二阶段重命名，并在网关那选择刚才创建第一阶段时的网关（名为TO_hk），然后在下面点击添加
页脚内容8
添加本地内网建立IPSec VPN的IP段和对端的内网IP段，其他的按照默认的配置
页脚内容9
建立后默认是勾上“添加策略”
页脚内容10
其他的一些默认设置如果两端都是watchguard产品就按照默认配置，如果有一端不是便要设置成两端一样的参数
页脚内容11
点击确定后会自动创建两条策略
2、再对设备二进行配置，点击VPN下的Branch Office Gateway建立第一阶段
页脚内容12
打开配置第一阶段即网关配置后点击添加
首先先对第一阶段命名，也就是网关名称，再设置一个预共享密钥（如：12345678），再点击添加，添加对端网关和信息
页脚内容13
（1）可以按照IP地址进行设置，也可以按照域名信息来进行设置，先用IP地址来配，本地网关输入本地的公网IP，远程就输入对端的公网IP，如果对端是动态IP就勾上选动态IP（如：ADSL），但是如果是动态IP的话只能用按照域名来配置。

页脚内容14
（2）是按照域名来配置的，本地网关和远程网关均勾上“按域信息”
页脚内容15
点击本地网关的按域信息“配置”后勾上“按域名”，然后可以输入域名，记住要跟对端设置的一样
页脚内容16
点击远程网关的按域信息“配置”后勾上“按域名”，然后可以输入域名
点击确定后便可以了
页脚内容17
接下来配置第二阶段，点击VPN下Branch Office隧道后点击添加
页脚内容18
为第二阶段重命名，并在网关那选择刚才创建第一阶段时的网关（名为TO_DG），然后在下面点击添加
页脚内容19
添加本地内网建立IPSec VPN的IP段和对端的内网IP段，其他的按照默认的配置
页脚内容20
建立后默认是勾上“添加策略”
页脚内容21
其他的一些默认设置如果两端都是watchguard产品就按照默认配置，如果有一端不是便要设置成两端一样的参数
页脚内容22
点击确定后会自动创建两条策略
两端建立完成后在VPN隧道里会出现对端网关的信息便可以完成
页脚内容23
页脚内容24。