cisco ASA5505 与 fortinet防火墙 组建IPSEC VPN 能实现吗？ 如何配置。

Posted 2023-04-26

fortinet 防火墙配置如下：
Phase 1 :

Agressive mode with preshared key : *xxxxxxxxx*

Encryption 3 DES Authentication SHA1
DH Group 5

Phase 2 :
Encryption 3DES Authentication MD5
DH Group 5
Enable PFS
配置截图如下：

很简单，用标准的IPsec VPN配置。不要用私有的IPsec VPN，私有的只能同品牌设备之间做VPN。至于怎么配置你问的太笼统，又没有分，很难回答你。
你那个飞塔，阶段1阶段2这个配置地方没错，思科那边相应进行配置就可以了追问

你好 我还有两点疑问，1、他在第一阶段的 “mode” 选择的是“Aggressive” 这个是不是要选择“main”呢？ 2、路由：他做的是0.0.0.0到0.0.0.0的默认路由，就是想问下 感兴趣数据流 两端是不是必须要做对称呢 ？ 我这边怎么做呢？
我的QQ:275340739，请指教，谢谢了兄弟。十万火急。

追答

有难度啊小哥。你两边站点都是固定IP吧，那就主模式吧。
感兴趣流量一定要在你的NAT ACL里no 掉,目的就是不要让VPN的流量做转换，不然你VPN肯定不通。路由没有关系，反正你有默认路由。没有什么对不对称，比如site1 center 192.168.0.0/24 ----- site2 branch 192.168.1.0 /24 .在site1 上做 source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 ， 相反的在site2上做source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 ，刚才所说，你还要在两边路由器的NAT上no掉这两个流量。还有你那个图我看的脖子痛

追问

兄弟你好！首先非常感谢你的回答啊。这个VPN到现在我还没有搞通，我想让你看下 1、他设置了aggressive模式，2、还有他的VPN数据流。你看下这两点有没有问题啊。他把数据流设置成了0.0.0.0 0.0.0.0。我觉得是不是这两个地方设置的有问题啊 ？
尤其是 这个VPN数据流上面是不是他配置的不对啊？
我在debug 的时候显示第一阶段能正确匹配。但是第二阶段就报错了，我想是不是这个vpn数据流的问题啊？

参考技术A 只能试试，2边参数要匹配

Cisco ASA防火墙原地址与目的地址NAT

1、网络拓扑信息

2、网络地址基本配置

• outside路由器：

  interface FastEthernet0/0
  ip address 11.1.1.1 255.255.255.0

• inside路由器

  interface FastEthernet0/0
  ip address 10.1.1.1 255.255.255.0
  ip route 1.1.1.0 255.255.255.0 10.1.1.10

• ASA防火墙

  interface Ethernet0/0
  nameif outside
  security-level 0
  ip address 11.1.1.10 255.255.255.0 
  !
  interface Ethernet0/1
  nameif inside
  security-level 100
  ip address 10.1.1.10 255.255.255.0 
  route outside 1.1.1.0 255.255.255.0 11.1.1.1 1
  route inside 2.2.2.0 255.255.255.0 10.1.1.1 1

3、需求与配置

• 需要1：
  将内网服务器其IP址地2.2.2.2映射外网IP地址11.1.1.2 ，并做ACL放行其外部访问权限。

static (inside,outside) tcp 11.1.1.2 www 2.2.2.2 8080 netmask 255.255.255.255

access-list oti extended permit ip any host 11.1.1.2 
access-group oti in interface outside

• 需求2：
  内部用户访问其内部IP地址10.1.1.3时，做其目的地址转换，转换为1.1.1.3

  static (outside,inside) 10.1.1.3 1.1.1.3 netmask 255.255.255.255

• 需求3：
  原目地址同时做转换，内部用户其IP地址2.2.2.4访问其目的地址10.1.1.4时，原地址由2.2.2.4转换为11.1.1.4，目的地址10.1.1.4转换为1.1.1.4

static (inside,outside) 11.1.1.4 2.2.2.4 netmask 255.255.255.255 
static (outside,inside) 10.1.1.4 1.1.1.4 netmask 255.255.255.255