我有一个防火墙 Fortigate 60D,我需要创建到 L2TP/IPSEC 服务器的隧道,因此防火墙必须充当客户端。
是否可以?
我使用 Libreswan 在 Linux Debian 机器上配置了 L2TP/IPSEC 服务器,并且可以使用 Android 手机连接到它,但我无法使用 Fortigate 防火墙执行相同操作。
这是我的服务器的 ipsec.conf:
version 2.0
config setup
dumpdir=/var/run/pluto/
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.10.6.0/24
oe=off
protostack=netkey
nhelpers=0
interfaces=%defaultroute
conn vpnpsk
connaddrfamily=ipv4
auto=add
left=public_server_ip
leftid=public_server_ip
leftsubnet=public_server_ip/32
leftnexthop=%defaultroute
leftprotoport=17/1701
rightprotoport=17/%any
right=%any
rightsubnetwithin=0.0.0.0/0
forceencaps=yes
authby=secret
pfs=no
type=transport
auth=esp
ike=3des-sha1,aes-sha1
phase2alg=3des-sha1,aes-sha1
rekey=no
keyingtries=5
dpddelay=30
dpdtimeout=120
dpdaction=clear
感谢您的帮助
答案1
您可以在 GUI 中的“远程网关”下指定连接类型。将其设置为“拨号用户”就是您想要的。
您还可以使用 phase1-interface 表中的“type”选项。
conf vpn ipsec phase1-interface
edit <tunnel>
set type dynamic ?
static Remote VPN gateway has fixed IP address.
dynamic Remote VPN gateway has dynamic IP address.
ddns Remote VPN gateway has dynamic IP address and is a dynamic DNS client.
set type dynamic
end
答案2
您可以使用 Fortigate 上的向导或 CLI 执行此操作 - 在 Fortigate 端将其配置为拨号 VPN 而不是站点到站点。