1. 首页
  2. 科技数码

网络设备正确玩法-防火墙代替路由器(4)网络加密配置

1,SSL VPN 准备

这里SSL VPN不涉及科学上网,只是通互联网连接到自己家内部,组成加密的私有网络,保护内部数据安全。

1.1,公网地址

很多运营商默认不提供公网地址,需要打电话让他们去修改设备端配置,并重启光猫。找个理由说家里有监控,不清楚话值得买里搜搜。

1.2,端口映射

因为用的光猫还是三层转发,没有采用桥接模式。需要在光猫上做端口映射,把防火墙wan1接口ip映射到光猫的出口地址,为简单期间,可以直接用光猫的DMZ映射(所有端口全都映射)。

1.3,网络拓扑

VPN加密使用隧道模式,由移动设备SSL拨号到防火墙,防火墙经过验证身份后,分配移动设备VPN虚网卡地址192.168.8.x(VPN地址池),即互联网设备使用192.168.8.x地址与局域网内部设备地址192.168.9.x实现虚拟局域网内互访。

1.31.3

1.3

2,SSL VPN 配置

2.1光猫映射

光猫公网地址映射到防火墙wan1口,如果多个内部地址端口映射不同主机,也可选虚拟服务器映射单独端口。运营商光猫手机上安装app控制,各地可能不一样。

2.12.1

2.1

2.2,地址和端口

防火墙需要对地址和端口等,命名后才能调用,地址SSLVPN_TUNNEL_ADDR1默认就有,直接把IP部分改掉。

2.2.12.2.1

2.2.1

策略&对象--->地址--->新建地址

2.2.22.2.2

2.2.2

名称:inside_add

类型:子网

子网/IP范围:192.168.9.0/24

2.2.32.2.3

2.2.3

修改地址SSLVPN_TUNNEL_ADDR1

子网/IP范围:192.168.8.1-192.168.8.99 //设定分配99个VPN地址,如嫌少可以把最后一位改大。

2.2.42.2.4

2.2.4

自己定义一个SSL端口,如此处为9443,以避免常规的HTTPS(443)端口经常被扫描。同时,也可避免运营商对个人非报备的80,443等网站服务默认端口强制关闭。

2.2.52.2.5

2.2.5

策略&对象--->服务--->新建服务

2.2.62.2.6

2.2.6

名称:T9443 //方便自己记忆,可随意

目标端口 TCP 9443-9443

2.2.72.2.7

2.2.7

2.3,用户账号

在防火墙上增加本地用户账户和用户组,用于登陆VPN认证。

用户新建

用户&设备--->设置用户--->新建

2.3.12.3.1

2.3.1

2.3.22.3.2

2.3.2

新增加用户:test //用户名根据自己喜好设定

密码:建议设复杂密码,8位以上,字母大小写、数子、特殊字符等组合

2.3.32.3.3

2.3.3

邮箱可不填跳过

2.3.42.3.4

2.3.4

确认状态已启用,如有多个账号,重复同样操作。

2.3.52.3.5

2.3.5

2.4,用户组

用户组新建

用户&设备--->用户组--->新建

2.4.12.4.1

2.4.1

用户组名称 VPN_GROUP,并把双击test用户加到组,如有多个用户,同样加入。

2.4.22.4.2

2.4.2

2.5,SSL VPN设置

虚拟专用网--->SSL-VPN门户--->tunnel-access //这里仅改隧道模式,也可改full-access

2.5.12.5.1

2.5.1

开启隧道分割

路由地址:双击加入inside_add地址名

即只有VPN地址192.168.8.x访问到内网地址192.168.9.x的流量才进行隧道加密,其他流量不加密正常走原互联网出口。假设在公司拨号到家里,采用隧道分割,到家里内网的网络数据,将进行加密;访问其他互联网流量不加密,与不拨号时一样,即通过公司网关为出口到互联网。

如果不开启隧道分割,那终端所有流量都从VPN走,即不管什么流量都加密,所有流量从家里的防火墙的落地再出互联网。在公司拨号到家里,不采用隧道分割,公司互联网出的内容审计将失效(加密流量公司看不到内容,且隐藏了访问目的IP),除非公司在电脑操作系统上已经装了后台监控程序,那在网卡加密前,公司已经截获了数据流,那就没办法了。

允许客户端保持密码:打开

2.5.22.5.2

2.5.2

虚拟专用网--->SSL-VPN设置--->tunnel-access

监听接口:wan1

在端口监听:9443 //即外网开启的端口

限制访问:允许从任何主机接入

超时时间:600

2.5.32.5.3

2.5.3

地址范围:指定自定义地址

IP范围:SSLVPN_TUNNEL_ADDR1

用户/组:全部其他用户/组

认证/portal映射:tunnel-access

2.5.42.5.4

2.5.4

点击应用后,会提示内嵌证书警告,点击OK

2.5.52.5.5

2.5.5

自动返回配置界面,页面最上面由提示没有SSL-VPN策略,点击后自动跳转到策略配置界面。

2.5.62.5.6

2.5.6

2.6,策略配置

跳转到策略配置界面

名称:vpn-in //名称随意,表示清楚即可

流入接口:ssvpn隧道接口(ssl.root)

流入出接口:internal

源地址:SSLVPN_TUNNEL_ADDR1

VPN_GROUP //必须地址和用户组都要选,否则会提示无效

目的:inside_add

服务:ALL

启用NAT:关闭

2.6.12.6.1

2.6.1

确认后同样提示证书告警,直接OK确认

2.6.22.6.2

2.6.2

如果希望也能内网反向发起访问vpn地址设备,可开一条in-vpn的策略,一般用不到,这里就不再设置了。

3,VPN软件安装

Fortinet技术支持中心 https://support.fortinet.com.cn/

SSL VPN客户端有各种操作系统的版本,建议不要装系统自带的,功能臃肿,很多特性用不上,启动起来很慢,推荐中国技术支持官网上的精简版,仅保留基本的SSL VPN拨号功能。下面软件介绍为官网转发:

小ssl vpn客户端(1.7M左右,非forticlient) 只有SSL VPN功能,无其他forticlient高级功能,比如IPsec VPN/IPS/AV等等...。优点是 无客户端安装兼容性问题,比如 XP/2003/WIN7/WIN8/WIN10/2008 Server等系统都可以兼容性安装,使用也良好。

Windows SSL VPN Client:
exe和msi格式:
https://fortinet-public.s3.cn-north-1.amazonaws.com.cn/FortiClient_Download/SSL-VPN-1-5-M-Windows_System_small_ssl_vpn_client/sslvpnclient_win_4.4.2333.exe

https://fortinet-public.s3.cn-north-1.amazonaws.com.cn/FortiClient_Download/SSL-VPN-1-5-M-Windows_System_small_ssl_vpn_client/sslvpnclient.msi

安装完毕后在电脑菜单栏打开fortiClient SSLVPN

3.13.1

3.1

settings设置账号

server address:公网地址:9443 //公网地址可通过百度ip地址查询得到,动态拨号公网IP会变,建议在防火墙里配置DDNS,通过动态域名访问。

注意地址后面跟冒号加前面设置的端口号,前面SSL端口改成了9443。一定要✔忽略证书告警,否则每次拨号会提示。

user name和password,填入前面防火墙里创建的用户账号。

3.23.2

3.2

4,测试检查

笔记本连手机5G热点,通过互联网拨VPN号测试。

拨号已经连接,并且有收发包增长。

4.14.1

4.1

检查笔记本网卡,ifconfig /all 可看到VPN虚网卡,已经获得192.168.8.2地址。

4.14.1

4.1

电脑cmd中输入route print检查路由,可见去往192.168.9.0/24内部网段,走的是192.168.8.2接口,0.0.0.0/0默认路由是通过wifi的192.168.1.103出去,不同数据走不同出口,说明VPN隧道分割配置成功。

4.24.2

4.2

直接访问内网防火墙管理接口192.168.9.254,可正常访问连通。

监视器--->SSL-VPN监视器 可查看到VPN登陆用户连接和地址分配信息。

家里内网有nas开smb共享目录,就可以像局域网内一样操作,安全和便利性都能保证,非常香。

4.34.3

4.3

总结

转发分享一些有用的配置手册,供参考

FortiGate产品安装及快速配置 https://support.fortinet.com.cn/index.php?m=content&c=index&a=show&catid=30&id=349

FortiGate产品实施中文一本通(6.0) https://support.fortinet.com.cn/index.php?m=content&c=index&a=show&catid=30&id=345

就目前来说,飞塔60D是在200-300价位里,性价比最好的二手千兆桌面型防火墙,大厂品牌,资料齐全,性能稳定,功能齐全,全千兆转发,策略控制,WAN双路负载,SD-WAN,DDNS,SSL VPN,IPsec VPN,内置抓包功能,丰富的网络及协议监控功能,可玩性很高,完全可以取代家庭路由器做网关,简直就是猛禽皮卡对普通SUV的降维碾压。

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

原创文章,作者:夜风博客,如若转载,请注明出处:https://www.homedt.net/47317.html