Fortigate PPTP VPN配置手册.docx

Fortigate PPTP VPN配置手册Fortigate PPTP VPN配置手册 现如今有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP和其它NSP，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为："使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。 客户需求：如下所示 一、PPTP VPN配置 利用https:/10.0.17.10 登录到Fortigate 200A的WEB配置界面 1/21 把FortiGate配置为PPTP网关 1）添加用户名和组 1 进入 用户->本地 2 添加并配置 PPTP 用户为suzhouexch，并设置相应密码，结果如下所示: 2/21 3 进入 用户->用户组，添加并配置 PPTP 用户组为VPNusr，并添加suzhouexch到该组，如下： 3/21 2）启用PPTP并指定一个地址范围 (可同LAN口同一网段，亦可不同一网段，推荐不同网段) 1 进入 VPN-> PPTP-> PPTP 范围 2 单击启用 PPTP 3 输入 PPTP 地址范围的起点 IP地址(192.168.101.1)和终点 IP 地址(192.168.101.14) 4 选择您在“ 添加用户名和组”中添加的用户组VPNusr 5 单击“应用”以启用通过 FortiGate 200A的 PPTP 3）添加一个源地址和地址组 1 进入 防火墙-> 策略 2 选择 PPTP 客户要连接到的接口 3 单击新建以添加一个地址 4/21 4 为 PPTP地址范围内的一个地址输入地址名VPN-IPs，IP 地址和网络掩码 5 单击确定以保存源地址 6 进入 防火墙-> 地址-> 组 5/21 7 在 PPTP客户连接到的网络接口添加一个新的地址组 8 输入一个用于识别地址组的组名称。注：这个名称可以包含数字 (0-9), 大小写字母 (A-Z, a-z), 以及特殊字符 - 和 _。不能包含其他字符和空格 9 要添加地址组，在可用地址列表中选择一个地址，单击右箭头将它添加到成员列表 10 要从地址组中删除地址，从成员列表中选择一个地址，然后单击左箭头以将它从组中删除 11 单击确定以添加这个地址组 4）添加一个目的地址/地址组 1 进入 防火墙-> 策略 2 选择一个内部接口或者 DMZ 接口。(对于不同型号的的 FortiGate，方法有一些差别) 3 单击新建以添加新的地址 4 为本地VPN的内部接口上的单个电脑或一个子网输入地址名，IP 地址和网络掩码 6/21 5 单击确定以保存目的地址。 5）添加防火墙策略 1 进入 防火墙-> 策略 2 选择您要添加策略的策略列表 3 单击新建以添加新的策略 4 将源地址设置为与 PPTP 地址范围匹配的组 5 将目的地址设置为 PPTP 用户可以连接到的地址 6 将服务设置为与 PPTP VPN通道内的通讯匹配的类型，例如，如果 PPTP 用户可以访问网页，选择 HTTP 7 将动作设置为 接受。 8 如果需要地址转换则选择 NAT。 您还可以配置 PPTP策略的流量控制、记录日志以及病毒防护和网页内容过滤。 7/21 9 单击确定以保存防火墙策略。 二、配置PPTP的WindowsXP客户端 1）配置一个PPTP拨号网络连接 1 进入开始-> 控制面板。 2 选择 网络连接-> 创建一个新的连接 3 选择“连接到我的工作场所的网络”的网络连接，单击 下一步 4 选择“虚拟专用网络连接”， 单击 下一步 8/21 5 为连接输入一个名字，单击 下一步 6 输入VPN服务器连接的地址，单击 下一步 7 选择“只是我使用”，点击“下一步” 9/21 8 勾选“在我的桌面上添加一个到此连接的快捷方式”，单击 下一步 9 此时桌面上会增加一个图标，如下所示： 2）配置VPN连接 1 鼠标右键单击您在上面操作中创建的连接图标。 2 选择 属性-> 安全, 选择“要求数据加密”。 10/21 3 单击“高级” 以配置高级设置。选择“质询握手身份验证协议 (CHAP)”，确定没有选中其它设置项 4 选择“网络”属性页。确定“Internet协议”和“QoS 数据包计划程序” 选项已经被选中了,同时确定“微软网络的文件和打印共享”,”微软网络客户端”, “Deterministic Network Enhancer”选项没有被选中 11/21 5 选择“常规”以进行常规设置 6 选择“高级”以进行高级设置 12/21 7 选择“选项”以进行相关设置 8 设置完相关参数后，双击VPN连接图标，出来下图，输入PPTP VPN用户名和密码 13/21 9 点击“连接”后，网络开始验证PPTP VPN用户名和密码 10 VPN 连接成功后，即进入企业内部，可共享内部资料 14/21 附录 三张路由图作对比： 图一 未连VPN之前路由表 图二 未选连入VPN路由表 图三 选中连入VPN路由表 15/21 三、客户端OUTLOOK配置 添加Microsoft Exchange Server用户 1 打开“控制面板”>“邮件” 2 单击“电子邮件帐户” 3 选择“添加新电子邮件帐户”，点击“下一步” 16/21 4 选择“Microsoft Exchange Server”，点击“下一步” 5 输入Microsoft Exchange Server的IP地址或名称，邮箱用户名后，点击“检查姓名”后服务器开始验证用户名，验证通过后，会有下划线显示，如下图： 6点击“下一步” 7点击“是”继续，弹出如下错误信息 17/21 8打开Microsoft Office Outlook，弹出如下错误信息 9 点击Outlook中的“个人文件夹”之后弹出如下错误信息，无法正常打开OUTLOOK进行邮件收发工作 添加POP3用户 1 打开“控制面板”>“邮件” 2 单击“电子邮件帐户” 18/21 3 选择“添加新电子邮件帐户”，点击“下一步” 4 选择“POP3”，点击“下一步” 5 输入相应的配置信息，点击“其它设置” 19/21 6 选中“我的发送服务器要求验证”，点击“确定”退回 7 点击“测试帐户设置”，测试结果如上图所示，表示测试成功，点击“下一步” 8点击“完成”结束POP3邮箱设置，最后打开Microsoft Office Outlook，此时可以正常收发E-MAIL。 20/21 上述两种客户端方式，为何只有第二种可行，难道Microsoft Exchange Server用户就无法实现了吗？究竟是客户端设置问题？还是防火墙设置问题？或则是EXCHANGE服务器设置问题？这一切难题有待大家进一步研究讨论。 21/21