IPsec VPN Lan-to-Lan

一、组网需求

总公司内部部署防火墙，工作在透明模式，分公司防火墙部署的边界防火墙，工作在路由模式，在两台防火墙上配置IPsec VPN，实现总公司与分公司内部资源的互访。

二、拓扑图

三、配置要点

1、配置透明模式

2、配置策略模式的IPSEC VPN

3、配置策略

4、Router的配置

5、FortiGate2的配置

四、配置步骤

1、配置透明模式（只支持命令行配置）

config system settings

set opmode transparent

set manageip 192.168.0.123/255.255.255.0

set gateway 192.168.0.99

end

2、配置总部防火墙FortiGate1的IPSEC VPN

1）在透明模式下，仅支持策略模式的VPN，不支持接口模式。

在"系统管理"--"可见功能"--"基于策略的IPSEC VPN"--"应用"处，开启GUI页面默认隐藏的策略方式IPSEC VPN功能

2）配置IPSEC VPN

3）配置策略

4、总部Router的配置

hostname Internet_Router

interface Ethernet0/0

ip address 200.1.1.2 255.255.255.0

ip nat outside

interface Ethernet0/1

ip address 192.168.0.99 255.255.255.0

ip nat inside

access-list 101 permit ip any any

！

ip nat inside source list 101 interface Ethernet0/0 overload

ip nat inside source static 192.168.0.123 200.1.1.1

ip route 0.0.0.0 0.0.0.0 200.1.1.254

5、分支FortiGate2的配置

1) 基本上网配置

接口IP配置如下：

路由通过DHCP自动获取到默认路由：

2) IPsec VPN的配置

五、结果验证