设置IPSec动态DNS VPN

本文档针对IPsec VPN 中的动态DNS VPN 进行说明，即两台FortiGate设备之间通过VPN建立通信通道，让FortiGate保护的服务器或主机可以互相访问。其中一台FortiGate使用静态IP而另一台FortiGate使用静态域名和动态IP。
在配置之前需要统一VPN策略和参数，如模式、加密算法、认证方式、DH组、密钥周期、XAUTH和对NAT、DPD的支持等。其中模式、加密算法、认证方式、DH组必须一致，否则建不起来VPN。
环境介绍：
本文使用FortiGate400A和FortiGate110C做演示。本文支持的系统版本为FortiOS v3.0及更高。
拓扑：
(点击放大)

在这个配置中一台FortiGate使用静态域名和动态IP，因此当建立VPN时对端设备需要先通过域名服务器找到该域名对应的IP，然后建立VPN连接。使用动态IP 的FortiGate需要设置好DDNS才能确保及时地将动态IP报告给域名服务器。
FortiGate400A端配置：使用静态IP
步骤一：定义IPSec阶段一
在虚拟专网----IPSEC----自动交换密钥中点击创建阶段一。
远程网关：选择动态DNS
动态DNS：对端FortiGate的静态域名
本地接口：本端设备连接互联网的接口
模式：野蛮模式

步骤二：定义IPSec阶段二
点击创建阶段二。
阶段一：选择上面定义好的阶段一名称
(点击放大)

步骤三： 定义地址
在防火墙----地址中创建本端地址和对端地址
本端地址：定义在本端FortiGate设备后面的私网IP，该IP段一般是本端的服务器或PC。
对端地址：定义在对端FortiGate设备后面的私网IP，该IP段一般是对端的服务器或PC。
步骤四：添加策略
在防火墙----策略中创建一条新策略
源接口：连接本端私网的接口
源地址：定义好的本端地址
目的接口：连接互联网的接口
目的地址：定义好的对端地址
模式：选择IPSEC
VPN通道：选择定义好的阶段一
将该策略移动到其他同方向策略的最顶端
(点击放大)

FortiGate110C端配置：使用静态域名和动态IP
步骤一：定义IPSec阶段一
在虚拟专网----IPSEC----自动交换密钥中点击创建阶段一。
远程网关：选择静态IP地址
IP地址：对端FortiGate连接互联网的接口地址
本地接口：本端设备连接互联网的接口
模式：野蛮模式

步骤二：定义IPSec阶段二
点击创建阶段二。
阶段一：选择上面定义好的阶段一名称
(点击放大)

步骤三： 定义地址
在防火墙----地址中创建本端地址和对端地址
本端地址：定义在本端FortiGate设备后面的私网IP，该IP段一般是本端的服务器或PC。
对端地址：定义在对端FortiGate设备后面的私网IP，该IP段一般是对端的服务器或PC。
步骤四：添加策略
在防火墙----策略中创建一条新策略
源接口：连接本端私网的接口
源地址：定义好的本端地址
目的接口：连接互联网的接口
目的地址：定义好的对端地址
模式：选择IPSEC
VPN通道：选择定义好的阶段一
将该策略移动到其他同方向策略的最顶端
(点击放大)

步骤五：定义DDNS
在系统管理----网络中编辑本端FortiGate连接互联网的接口
DDNS：选择启用
服务器：选择一个DDNS服务器，服务器列表是内建在FortiGate中的，FortiGate可以连接到列表中的服务器。
域：填写有效的域名，即本设备的静态域名
用户名：当连接DDNS服务器时使用的用户名
口令：当连接DDNS服务器时使用的口令
(点击放大)

监视VPN连接：
在虚拟专网----IPSEC----动态VPN监视器中可以监视建立好的VPN连接状态。