VPN经验分享（施工完了）

实际经验谈，有时候ppt没写得那么详细，新手可以看看说不定少走弯路，在老手大牛面前就不献丑了。

1：防火墙规则

1.1 设备单臂部署的时候，一般来说前端防火墙除了做端口映射还要做到达对端网络的路由，除了这两点要注意外，要记得做LAN区域到LAN区域（反正是内网区域）的防火墙规则，不然会被防火墙丢掉导致vpn建立了但ping不通对端。



1.2 有些设备默认启用vpn-lan互通防火墙规则，但是AF有点特别，默认没有这规则，所以vpn建立后，首先要到网络配置-接口/区域-区域，新建三层区域，名词自填，然后把vpntun接口加入到该区域；然后在内容安全里，新建两条允许策略，一条vpn区域都内网，一条是内网到vpn区域，策略内容可根据实际使用修改。这样vpn访问就不会匹配到最后的全拒绝策略了。



1.3 所以有时候vpn访问不成功，可以看看设备的vpn-lan策略是不是被错误修改了。

2:某公司设备单臂部署，和思科ASA防火墙野蛮模式建立VPN

论坛有和思科路由器野蛮模式建立标准IPSec vpn的文档，可是就是没有和asa建立标准IPSEC VPN的文档，事实上两者的命令相差比较大，一些机制也不同。

2.1 注意点：

1、设备单臂部署/前端有NAT设备/设备没固定IP时，必须用野蛮模式和对端设备建立第三方IPSec VPN。

2、思科的设备没有野蛮模式，只有积极模式，跟别的厂商做ipsec有些麻烦。（思科官方没有野蛮模式的说法，但有些思科工程师就是死认积极模式和Dynamic MAP，不得不吐槽一下）。

3、对于spoke端而言，Dynamic Site-to-Site VPN的配置和普通Site-to-Site VPN完全一样，所以ASA可以不用特意找Dynamic Site-to-Site的命令。（也就是两边都有固定公网IP情况下，某公司这边野蛮模式和ASA普通Site-to-Site VPN设置一样能建立vpn）

4、SSL VPN 6.8 版本野蛮模式的身份类型有3种，一种是IPV4_ADDR，一种是FQDN，一种是USER_FQDN。AF 6.X VPN模块里身份类型只有2种，FQDN和USER_FQDN，其他设备没看过。

5、对于主模式，在对等体标识的配置使用上，思科ASA只能使用ip地址进行标识；而对于积极模式，则可以使用ip地址或者域名进行对等体的标识。所以主模式建立vpn时某公司设备这边也要改成IPV4_ADDR身份类型哦。

6、不用特意加这个点 “   .    ”

《某公司 与 Cisco 对接 标准IPsec VPN》文档里说，和思科路由器野蛮模式建立vpn时，要加这个FQDN方式做身份类型时，要加 “   .    ”。

不然会

实测SSL VPN设备和思科ASA防火墙野蛮模式建立标准IPSec VPN时，不会有这种情况，所以不用特意加。

7、思科第一阶段的sa生存时间默认是86400秒，所以两边设备这边注意修改哦。

AF 6.3 VPN模块，生存时间不能超过28800秒。

[color=#ff某公司公司]2.2  ASA命令分享

2.2.1 实测可用Site to Site部分命令（适用两端网关部署/前置NAT环境/ASA本端没有固定公网IP）
第一阶段

[color=#某公司8某公司公司]配置IKE（ISAKMP）：

crypto ikev1 policy 10           //ASA 8.3之后的命令
crypto isakmp policy 10       //ASA 8.3以前的命令
authentication pre-share    //配置认证方式（预共享密钥）
encryption 3des               //配置加密算法
hash sha                      //配置hash算法
group 2                             //配置DH群
lifetime 864某公司             // 配置生存时间

[color=#某公司8某公司公司]定义感兴趣流量：

access-list 1某公司 extended permit ip 192.168.0.0 255.255.0.0 10.1.1.0 255.255.255.0

       //创建ACL，类似我们的出入站策略，允许本端哪个网段出去到对端哪个网段

[color=#某公司8某公司公司]第二阶段

[color=#某公司8某公司公司]配置IPSec transform：

crypto IPSec transform-set p2p esp-3des esp-sha-hmac   //创建变换集及策略（ASA 8.3以前的命令）

crypto ipsec ikev1 transform-set p2p esp-3des esp-sha-hmac     //ASA 8.3之后的命令

[color=#某公司8某公司公司]创建crypto map，注意配置命令格式和路由器不一样：

crypto map p2p_vpn 10 match address 1某公司       //创建IPsec策略
crypto map p2p_vpn 10 set peer 对端地址      //配置对端地址
crypto map p2p_vpn 10 set transform-set p2p    /绑定变换集到映射图（ASA 8.3以前的命令）

crypto map p2p_vpn 10 set ikev1 transform-set p2p    //ASA 8.3之后的命令

[color=#某公司8某公司公司]定义认证标识，注意配置命令和路由器不一样：

tunnel-group 对端地址 type IPSec-l2l             //创建tunnel-group，并指定隧道类型为l2l
tunnel-group 对端地址 IPSec-attributes

ASA 8.3以前的命令
pre-shared-key *                                          //和路由器不同的是，密钥在tunnel-group里设定

ASA 8.3之后的命令

ikev1 pre-shared-key *****

[color=#某公司8某公司公司]将crypto map和ISAKMP策略应用于接口outside接口E0/0：
crypto map p2p_vpn interface outside           //将映射图绑定到外网接口
crypto isakmp enable outside              //外网接口开启isakmp（ASA 8.3以前的命令）

crypto ikev1 enable outside            //ASA 8.3之后的命令

[color=#某公司8某公司公司]绕过NAT：

[color=#某公司8某公司公司]ASA 8.3以前的命令

access-list 某公司nat extended permit ip 192.x.0.0 255.x.0.0 10.x.1.0 255.x.255.0

nat (inside) 0 access-list 某公司nat

//上面ACL 某公司nat 定义了ASA1 的私网段192.x.0.0/24访问R2的私网段10.x.1.0/24时不做NAT 地址转换。

ASA 8.3之后的命令和以前有点不同，通过

Twice-nat配置旁路掉vpn感兴趣流，旧命令不能用了。

定义作vpn源地址

ciscoasa(config)#object network Inside_address  

ciscoasa(config-network-object)#subnet 192.x.3.0 255.x.255.0

定义vpn目的地址

ciscoasa(config)# object network Vpn_address   

ciscoasa(config-network-object)#subnet 172.x.2.0 255.x.255.0

Twice-nat配置

ciscoasa(config)# nat(inside,outside) source static Inside_address Inside_address destination static Vpn_address Vpn_address   

[color=#ff某公司公司]2.2.2 ASA-IPSec VPN高级特性命令

[color=#某公司8某公司公司]PFS命令

[color=#cc某公司]PFS（perfect forward secrecy），我们设备中文叫密钥完美向前保密。

命令：crypto map map_name map_index set pfs [group1 | group2 | group5 | group14 | group19 | group20 | group21 | group24]

举例：cry map cisco 10 set pfs group2

[color=#某公司8某公司公司]nat穿越

对于NAT穿越的支持：这也要视对等体双方的认证方式而定，主要的区别在预共享密钥的情况下。

如果是预共享密钥的情况下，主模式是不支持NAT穿越的，而积极模式可以支持NAT穿越。

而在证书认证的情况下，主模式和积极模式都是支持NAT穿越的。

思科PIX/ASA默认没有开启nat-t。

crypto isakmp nat-traversal     //开启防火墙nat-t

[color=#ff某公司公司]2.2.3 身份类型更改的命令

[color=#ff某公司公司]改ASA的身份认证类型为hostname

crypto isakmp identity hostname                                   //更改身份认证类型为hostname（某公司公司设备第一阶段身份类型选FQDN）

crypto map crymap 10 set phase1-mode aggressive               //hostname(FQSN)类型使用前要先设为积极模式（不然会报错）

crypto map crymap  10 set ikev1 phase1-mode aggressive group2   //上面是8.3以前命令，这条是8.3以后命令

tunnel-group 某公司公司某公司公司 type IPSec-l2l                           //tunnel-group也可以用对方的FQDN

tunnel-group 某公司公司某公司公司x ipsec-attributes         

     ikev1 pre-shared-key cisco123

[color=#ff某公司公司]2.2.4 Dynamic MAP命令

这个主要是用在本端是hub端或者对端设备没有固定公网IP情况下。

crypto dynamic-map cisco 10 set transform-set p2p

crypto dynamic-map cisco 10 set reverse-route                    //启用反向路由注入

crypto map dyn-map 10 IPSec-isakmp dynamic cisco          //创建静态映射图绑定动态映射图

tunnel-group DefaultL2某公司roup IPSec-attributes

   pre-shared-key ccie

//某公司公司不变

说明：

1、Dynamic Site-to-Site VPN中，Hub端是不能事先向spoke端发起流量来触发自己的SA建立的，所以总部到分支机构的流量都通不过，Hub端的SA只能由spoke端发送流量来触发。

2、当从spoke端向Hub端发送流量初始化后，ASA上会自动添加一条去往对端（spoke）内网的静态路由，即反向路由注入 reverse-route 所起的作用。

ASA部分是本人结合工作经验和许多资料及技术帖子后进行的总结经验，如有任何不足及错误，欢迎前来指正并共同探讨。

非常感谢分享
在多问下某公司 ngaf 1020和juniper srx 240 的ipsec IKE vpn 采用主动模式
命令如下.
juniper srx 240
阶段一:
set security ike proposal ike-pro authentication-method pre-shared-keys
set security ike proposal ike-pro dh-group group2
set security ike proposal ike-pro authentication-algorithm md5
set security ike proposal ike-pro encryption-algorithm des-cbc
set security ike proposal ike-pro lifetime-seconds 28800
set security ike policy test-ike mode main
set security ike policy test-ike proposals ike-pro
set security ike policy test-ike pre-shared-key ascii-text Juniper123(共享秘钥)
set security ike gateway test-gw ike-policy test-ike
set security ike gateway test-gw address 2*.101.2.2
set security ike gateway test-gw external-interface ge-0/0/0.0

阶段二:
set security ipsec proposal vpn-pp protocol esp
set security ipsec proposal vpn-pp authentication-algorithm hmac-md5-96
set security ipsec proposal vpn-pp encryption-algorithm 3des-cbc
set security ipsec proposal vpn-pp lifetime-seconds 3600
set security ipsec policy test-vpn-pp proposals vpn-pp
set security ipsec vpn test-vpn ike gateway test-gw
set security ipsec vpn test-vpn ike ipsec-policy test-vpn-pp
set security ipsec vpn test-vpn establish-tunnels immediately

建立地址簿:
set security zones security-zone internet address-book address test-address 192.168.1.0/24
set security zones security-zone vpn address-book address test-hub-address 10.1.1.0/24


配置vpn策略:
set security policies from-zone internet to-zone vpn policy test-policy match source-address test-address
set security policies from-zone internet to-zone vpn policy test-policy match destination-address test-hub-address
set security policies from-zone internet to-zone vpn policy test-policy match application any
set security policies from-zone internet to-zone vpn policy test-policy then permit tunnel ipsec-vpn testvpn
set security policies from-zone vpn to-zone internet policy policy-test match source-address test-hub-address
set security policies from-zone vpn to-zone internet policy policy-test match destination-address test-address
set security policies from-zone vpn to-zone internet policy policy-test match application any
set security policies from-zone vpn to-zone internet policy policy-test then permit tunnel ipsec-vpn testvpn
某公司的不用说了很简单.
最后一直连接不上阶段一某公司的日志一直让检查对端高级设置.
仔细确认过 两端IP 认证方法  预存密码 加密方法和时间.
您还有没有别的建议.直接采用野蛮模式..这个还没试不过两端都固定IP 呀.

您可以删了我的回复..发完贴才看到您的标题..但是还没找到咋删除不过可以找下管理员.

3、利用设备“翻墙”

问题：
“两台防火墙，通过VPN对接。实现的效果是：访问国内的网站就是一般路由出去，访问国外的网站如（Facebook、YouTube等）自动的走VPN隧道访问国外网站。”

回答：
如果用sangforvpn的话，就不用配置策略路由了
国外的设备直接把google的网段放到本地子网里面，国内的设备就会收到google网段的vpn路由，vpn路由的优先级是最高了，根本就不用做策略路由了

分析：
这样的需求，就是相当于翻墙访问国外网站。通过我们的设备实现方法如下：
第一种：添加本地子网
通过sangfor VPN互联，将两台防火墙通过VPN隧道进行通信，然后在国外的防火墙上，添加需要访问的地址到本地子网中，我们设备会自动识别出，如果是访问国外地址时，自动的走VPN隧道。
第二种：设置代理
通过VPN隧道，将两台设备进行连接，在国外内网中放一台代理,国内访问网站时候，识别出代理范围，通过的VPN隧道访问代理。
另外：策略路由也可以做，实现功能一样，但是配置稍微复杂一点。

配置截图（第一种）：
1、建立VPN，配置VPN对接



2、总部与分支配置（总部配）



分支接入配置。

3、连接管理（分支配）

用户名与上图一致

4、添加本地子网（国外的设备上配置，将需要访问的地址的添加进来，即目的网段地址）

4、零碎的东西

4.1 某公司公司vpn支持pptp穿透。

4.2 由于IPSec VPN静态性的原因（要匹配感兴趣流才能被传输），所以基于组播的IP电话、视频某公司公司等在第三方IPSec VPN里是不被支持的（但是DLAN支持组播和广播），如果是基于单播的SIP倒是可以支持。

4.3 分享个最近设置MIG的经验（mig dlan部分也没什么好说的了）

按手册步骤，一般来说设置好部署模式和上网代理，就可以上网了，但是昨天去客户部署MIG的时候，发现某公司公司法上网。回复出厂也不行。后来搜了下论坛，发现也有同样的问题，看到后面的回复后，按照那里的方法，终于可以上网。

报错信息（某公司公司认证丢包，开直通也不能上网）

是否是关闭了认证弹框后又没有开启自动认证？同时某公司公司列表里边未做任何某公司公司的配置？

是的，但是好像开启了自动认证也不行，会有认证弹框，必须匿名上网。

最后解决办法是，勾选”启用认证弹框“，排除IP列表为”0.0.0.0-255.255.255.255“

设置后终于可上网了。（只是为什么不开启就会认证报错呢？比AC还麻烦）

4.4  部分社区，电信ADSL开始不再分配公网IP了（分配1某公司开头的私网IP）。如果有客户特别是广州城区这边的IPSec VPN客户，总部是ADSL拨号的申请了webagent的情况下。如果遇到用得好好的vpn突然用不了，可能就是这个原因，只能让电信协商分配公网IP咯或者购买固定IP的光纤。

我的问题 解决了。
也更新下.
juniper srx240与af1020 的第三方.注意要在juniper srx240 里面的nat 要开一个不要转换的nat(最高优先) 不然流量不走策略VPN.

好文！~很强大、很详细！！！！