fortigate 08-部署VPN.ppt

部署VPNCourse 301 使用Radius记录为VPN用户分配IP地址 FortiOS RADIUS改进 可以通过RADIUS认证为客户端指定IP地址 使用‘Framed-IP-Address’属性 (rfc 2865) RADIUS IP pool属性尚不支持 支持IPSec、SSL-VPN PPTP 使用FortiClient作为IPSec VPN客户端时，必须配置XAUTH 和DHCP IAS设置 SE DEPT组中有2个用户 se1 se2 IAS设置 为se1用户设置Frame-ip-address IAS设置 因为只设置了se1这一条策略，所以se2将无法连接VPN IPSec示例 IPSec FortiClient设置(1) FortiGate设置(2) FortiGate设置(3) FortiGate设置(4) FortiGate设置(5) 排错(1) IPSec diag debug app ike -1 RADIUS diag debug app fnbamd -1 排错(2) 路由表 如果在阶段2里设置了add-route，当VPN通道up时，客户端分配到的IP地址将出现在路由表中。 只在策略模式下生效。路由模式下缺省就有相关路由条目 SSL VPN示例 SSL VPN FortiGate设置(1) FortiGate设置(2) SSL VPN设置 设置通道模式和登录界面 添加SSL VPN用户组 FortiGate设置(3) FortiGate设置(4) SSL VPN策略 2条策略 一条用于认证 一条用于流量 FortiGate设置(5) SSL VPN静态路由 在SSL接口上设置到达客户端的静态路由 排错(1) SSLVPN diag debug app ssl 255 PPP diag debug app ppp 255 排错(2) 在PC上启用PPP跟踪 netsh – ras – set tracing ppp enable 日志保存在 c:\windows\tracing PPTP config vpn pptp set status enable set ip-mode usrgrp set local-ip 172.16.0.254 set usrgrp vpn end SSL VPN登录界面定制 在SSL VPN菜单中设置（v3.0在用户组中） VPN SSL Portal Create New SSL VPN登录界面定制 主体 布局 OS检查 主题设置 可设置为3种颜色 页面布局 可以设置为单列或双列 OS检查 检查客户端OS 目前支持Windows XP和Windows 2000 增加组件 可以增加书签、连接工具、通道模式、会话信息 书签设置 可以为各种协议应用设置书签 点击编辑按钮，设置名称和应用选项 SSL VPN用户组 创建用户组时，可以指定用户组使用的登录界面模板。 习题 根据用户组的不同，为SSL VPN用户定制不同的登录界面，分配不同的IP地址 * * Local gateway IP --------外网接口多个IP，指定一个地址池里的一个公网IP，这样就不需要外网接口IP。 * * * * * Note: 点击Apply保存 要对IAS进行Windows 域的授权 要对所建立的用户设置允许远程拨入 Config sys dhcp server Edit dhcp-ipsec Set int Config vpn ipsec forticlient * * config user radius edit RADIUS set nas-ip 10.100.0.109 set secret ENC t8JMeRJkFjDf set server 10.100.0.9 next config user group edit RADIUS-Client set member RADIUS next RADIUS设置 在RADIUS服务器上，将Framed-IP-Address属性设置为希望分配给客户端的IP地址 FortiGate RADIUS设置 config vpn ipsec phase1 edit Radius-test set type dynamic set interface port2 set proposal 3des-sha1 aes128-sha1 set xau