VPN经验分享(施工完了)
  

萌大爷 16635

{{ttag.title}}
本帖最后由 萌大爷 于 2015-10-14 14:36 编辑


实际经验谈,有时候ppt没写得那么详细,新手可以看看说不定少走弯路,在老手大牛面前就不献丑了。

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

萌大爷 发表于 2015-10-13 17:54
  
本帖最后由 萌大爷 于 2015-10-14 13:59 编辑

1:防火墙规则

1.1 设备单臂部署的时候,一般来说前端防火墙除了做端口映射还要做到达对端网络的路由,除了这两点要注意外,要记得做LAN区域到LAN区域(反正是内网区域)的防火墙规则,不然会被防火墙丢掉导致vpn建立了但ping不通对端。

小Q截图-20151013120736.png

1.2 有些设备默认启用vpn-lan互通防火墙规则,但是AF有点特别,默认没有这规则,所以vpn建立后,首先要到网络配置-接口/区域-区域,新建三层区域,名词自填,然后把vpntun接口加入到该区域;然后在内容安全里,新建两条允许策略,一条vpn区域都内网,一条是内网到vpn区域,策略内容可根据实际使用修改。这样vpn访问就不会匹配到最后的全拒绝策略了。

小Q截图-20151013175819.png

1.3 所以有时候vpn访问不成功,可以看看设备的vpn-lan策略是不是被错误修改了。
萌大爷 发表于 2015-10-13 18:15
  
本帖最后由 萌大爷 于 2015-10-14 13:59 编辑

2:某公司设备单臂部署,和思科ASA防火墙野蛮模式建立VPN

论坛有和思科路由器野蛮模式建立标准IPSec vpn的文档,可是就是没有和asa建立标准IPSEC VPN的文档,事实上两者的命令相差比较大,一些机制也不同。

2.1 注意点:

1、设备单臂部署/前端有NAT设备/设备没固定IP时,必须用野蛮模式和对端设备建立第三方IPSec VPN。

2、思科的设备没有野蛮模式,只有积极模式,跟别的厂商做ipsec有些麻烦。(
思科官方没有野蛮模式的说法,但有些思科工程师就是死认积极模式和Dynamic MAP,不得不吐槽一下)。

3、对于spoke端而言,Dynamic Site-to-Site VPN的配置和普通Site-to-Site VPN完全一样,所以ASA可以不用特意找Dynamic Site-to-Site的命令。(也就是两边都有固定公网IP情况下,某公司这边野蛮模式和ASA普通Site-to-Site VPN设置一样能建立vpn

4、SSL VPN 6.8 版本野蛮模式的身份类型有3种,一种是IPV4_ADDR,一种是FQDN,一种是USER_FQDN。
AF 6.X VPN模块里身份类型只有2种,FQDN和USER_FQDN,其他设备没看过。

5、对于主模式,在对等体标识的配置使用上,思科ASA只能使用ip地址进行标识;而对于积极模式,则可以使用ip地址或者域名进行对等体的标识。所以主模式建立vpn时某公司设备这边也要改成IPV4_ADDR身份类型哦。

6、不用特意加这个点 “   .    ”
《某公司 与 Cisco 对接 标准IPsec VPN》文档里说,和思科路由器野蛮模式建立vpn时,要加这个FQDN方式做身份类型时,要加 “   .    ”。

小Q截图-20151013181643.png


不然会

小Q截图-20151013181442.png

实测SSL VPN设备和思科ASA防火墙野蛮模式建立标准IPSec VPN时,不会有这种情况,所以不用特意加。

7、思科第一阶段的sa生存时间默认是86400秒,所以两边设备这边注意修改哦。
AF 6.3 VPN模块,生存时间不能超过28800秒

萌大爷 发表于 2015-10-13 18:30
  
[color=#ff某公司公司]2.2  ASA命令分享

2.2.1 实测可用Site to Site部分命令(适用两端网关部署/前置NAT环境/ASA本端没有固定公网IP)
第一阶段
[color=#某公司8某公司公司]配置IKEISAKMP):
crypto ikev1 policy 10           //ASA 8.3之后的命令
crypto isakmp policy 10       //
ASA 8.3以前的命令

authentication pre-share    //配置认证方式(预共享密钥)
encryption 3des               //配置加密算法
hash sha                      //配置hash算法
group 2                             //配置DH群
lifetime 864某公司             // 配置生存时间
[color=#某公司8某公司公司]定义感兴趣流量:
access-list 1某公司 extended permit ip 192.168.0.0 255.255.0.0 10.1.1.0 255.255.255.0
       //创建ACL,类似我们的出入站策略,允许本端哪个网段出去到对端哪个网段

[color=#某公司8某公司公司]第二阶段
[color=#某公司8某公司公司]配置IPSec transform
crypto IPSec transform-set p2p esp-3des esp-sha-hmac   //创建变换集及策略(ASA 8.3以前的命令
crypto ipsec ikev1 transform-set p2p esp-3des esp-sha-hmac     //ASA 8.3之后的命令

[color=#某公司8某公司公司]创建crypto map,注意配置命令格式和路由器不一样:
crypto map p2p_vpn 10 match address 1某公司       //创建IPsec策略
crypto map p2p_vpn 10 set peer
对端地址      //配置对端地址
crypto map p2p_vpn 10 set transform-set p2p    /绑定变换集到映射图
ASA 8.3以前的命令
crypto map p2p_vpn 10 set ikev1 transform-set p2p    //ASA 8.3之后的命令
[color=#某公司8某公司公司]定义认证标识,注意配置命令和路由器不一样:
tunnel-group 对端地址 type IPSec-l2l             //创建tunnel-group,并指定隧道类型为l2l
tunnel-group
对端地址 IPSec-attributes
ASA 8.3以前的命令
pre-shared-key *                                          //和路由器不同的是,密钥在tunnel-group里设定
ASA 8.3之后的命令
ikev1 pre-shared-key *****

[color=#某公司8某公司公司]将crypto mapISAKMP策略应用于接口outside接口E0/0

crypto map p2p_vpn interface outside           //将映射图绑定到外网接口
crypto isakmp enable outside              //外网接口开启isakmp
ASA 8.3以前的命令
crypto ikev1 enable outside            //ASA 8.3之后的命令

[color=#某公司8某公司公司]绕过NAT
[color=#某公司8某公司公司]ASA 8.3以前的命令
access-list 某公司nat extended permit ip 192.x.0.0 255.x.0.0 10.x.1.0 255.x.255.0
nat (inside) 0 access-list 某公司nat
//上面ACL 某公司nat 定义了ASA1 的私网段192.x.0.0/24访问R2的私网段10.x.1.0/24时不做NAT 地址转换。
ASA 8.3之后的命令和以前有点不同,通过
Twice-nat配置旁路掉vpn感兴趣流,旧命令不能用了。
定义作vpn源地址
ciscoasa(config)#object network Inside_address  
ciscoasa(config-network-object)#subnet 192.x.3.0 255.x.255.0
定义vpn目的地址
ciscoasa(config)# object network Vpn_address   
ciscoasa(config-network-object)#subnet 172.x.2.0 255.x.255.0
Twice-nat配置
ciscoasa(config)# nat(inside,outside) source static Inside_address Inside_address destination static Vpn_address Vpn_address   

[color=#ff某公司公司]2.2.2 ASA-IPSec VPN高级特性命令
[color=#某公司8某公司公司]PFS命令
[color=#cc某公司]PFS(perfect forward secrecy),我们设备中文叫密钥完美向前保密。
命令:crypto map map_name map_index set pfs [group1 | group2 | group5 | group14 | group19 | group20 | group21 | group24]
举例:cry map cisco 10 set pfs group2
[color=#某公司8某公司公司]nat穿越
对于NAT穿越的支持:这也要视对等体双方的认证方式而定,主要的区别在预共享密钥的情况下。
如果是预共享密钥的情况下,主模式是不支持NAT穿越的,而积极模式可以支持NAT穿越。
而在证书认证的情况下,主模式和积极模式都是支持NAT穿越的。
思科PIX/ASA默认没有开启nat-t。
crypto isakmp nat-traversal     //开启防火墙nat-t

[color=#ff某公司公司]2.2.3 身份类型更改的命令
[color=#ff某公司公司]改ASA的身份认证类型为hostname
crypto isakmp identity hostname                                   //更改身份认证类型为hostname(某公司公司设备第一阶段身份类型选FQDN)
crypto map crymap 10 set phase1-mode aggressive               //hostname(FQSN)类型使用前要先设为积极模式(不然会报错)
crypto map crymap  10 set ikev1 phase1-mode aggressive group2   //上面是8.3以前命令,这条是8.3以后命令
tunnel-group 某公司公司某公司公司 type IPSec-l2l                           //tunnel-group也可以用对方的FQDN
tunnel-group 某公司公司某公司公司x ipsec-attributes         
     ikev1 pre-shared-key cisco123

[color=#ff某公司公司]2.2.4 Dynamic MAP命令
这个主要是用在本端是hub端或者对端设备没有固定公网IP情况下。
crypto dynamic-map cisco 10 set transform-set p2p
crypto dynamic-map cisco 10 set reverse-route                    //启用反向路由注入

crypto map dyn-map 10 IPSec-isakmp dynamic cisco          //创建静态映射图绑定动态映射图
tunnel-group DefaultL2某公司roup IPSec-attributes
   pre-shared-key ccie

//某公司公司不变

说明:
1、Dynamic Site-to-Site VPN中,Hub端是不能事先向spoke端发起流量来触发自己的SA建立的,所以总部到分支机构的流量都通不过,Hub端的SA只能由spoke端发送流量来触发。
2、当从spoke端向Hub端发送流量初始化后,ASA上会自动添加一条去往对端(spoke)内网的静态路由,即反向路由注入 reverse-route 所起的作用。

ASA部分是本人结合工作经验和许多资料及技术帖子后进行的总结经验,如有任何不足及错误,欢迎前来指正并共同探讨。

新手735252 发表于 2015-10-13 19:42
  
非常感谢分享
在多问下某公司 ngaf 1020和juniper srx 240 的ipsec IKE vpn 采用主动模式
命令如下.
juniper srx 240
阶段一:
set security ike proposal ike-pro authentication-method pre-shared-keys
set security ike proposal ike-pro dh-group group2
set security ike proposal ike-pro authentication-algorithm md5
set security ike proposal ike-pro encryption-algorithm des-cbc
set security ike proposal ike-pro lifetime-seconds 28800
set security ike policy test-ike mode main
set security ike policy test-ike proposals ike-pro
set security ike policy test-ike pre-shared-key ascii-text Juniper123(共享秘钥)
set security ike gateway test-gw ike-policy test-ike
set security ike gateway test-gw address 2*.101.2.2
set security ike gateway test-gw external-interface ge-0/0/0.0

阶段二:
set security ipsec proposal vpn-pp protocol esp
set security ipsec proposal vpn-pp authentication-algorithm hmac-md5-96
set security ipsec proposal vpn-pp encryption-algorithm 3des-cbc
set security ipsec proposal vpn-pp lifetime-seconds 3600
set security ipsec policy test-vpn-pp proposals vpn-pp
set security ipsec vpn test-vpn ike gateway test-gw
set security ipsec vpn test-vpn ike ipsec-policy test-vpn-pp
set security ipsec vpn test-vpn establish-tunnels immediately

建立地址簿:
set security zones security-zone internet address-book address test-address 192.168.1.0/24
set security zones security-zone vpn address-book address test-hub-address 10.1.1.0/24


配置vpn策略:
set security policies from-zone internet to-zone vpn policy test-policy match source-address test-address
set security policies from-zone internet to-zone vpn policy test-policy match destination-address test-hub-address
set security policies from-zone internet to-zone vpn policy test-policy match application any
set security policies from-zone internet to-zone vpn policy test-policy then permit tunnel ipsec-vpn testvpn
set security policies from-zone vpn to-zone internet policy policy-test match source-address test-hub-address
set security policies from-zone vpn to-zone internet policy policy-test match destination-address test-address
set security policies from-zone vpn to-zone internet policy policy-test match application any
set security policies from-zone vpn to-zone internet policy policy-test then permit tunnel ipsec-vpn testvpn
某公司的不用说了很简单.
最后一直连接不上阶段一某公司的日志一直让检查对端高级设置.
仔细确认过 两端IP 认证方法  预存密码 加密方法和时间.
您还有没有别的建议.直接采用野蛮模式..这个还没试不过两端都固定IP 呀.
rock_guo 发表于 2015-10-13 19:48
  
您可以删了我的回复..发完贴才看到您的标题..但是还没找到咋删除不过可以找下管理员.
萌大爷 发表于 2015-10-14 14:02
  
本帖最后由 萌大爷 于 2015-10-14 14:06 编辑

3、利用设备“翻墙”

问题:
“两台防火墙,通过VPN对接。实现的效果是:访问国内的网站就是一般路由出去,访问国外的网站如(Facebook、YouTube等)自动的走VPN隧道访问国外网站。”

回答:
如果用sangforvpn的话,就不用配置策略路由了
国外的设备直接把google的网段放到本地子网里面,国内的设备就会收到google网段的vpn路由,vpn路由的优先级是最高了,根本就不用做策略路由了

分析:
这样的需求,就是相当于翻墙访问国外网站。通过我们的设备实现方法如下:
第一种:添加本地子网
通过sangfor VPN互联,将两台防火墙通过VPN隧道进行通信,然后在国外的防火墙上,添加需要访问的地址到本地子网中,我们设备会自动识别出,如果是访问国外地址时,自动的走VPN隧道。
第二种:设置代理
通过VPN隧道,将两台设备进行连接,在国外内网中放一台代理,国内访问网站时候,识别出代理范围,通过的VPN隧道访问代理。
另外:策略路由也可以做,实现功能一样,但是配置稍微复杂一点。

配置截图(第一种):

1、建立VPN,配置VPN对接

图片1.png

2、总部与分支配置(总部配)

图片2.png

分支接入配置。

3、连接管理(分支配)
图片3.png

用户名与上图一致

4、添加本地子网(国外的设备上配置,将需要访问的地址的添加进来,即目的网段地址)

图片4.png
萌大爷 发表于 2015-10-14 14:30
  
4、零碎的东西
4.1 某公司公司vpn支持pptp穿透。
4.2 由于IPSec VPN静态性的原因(要匹配感兴趣流才能被传输),所以基于组播的IP电话、视频某公司公司等在第三方IPSec VPN里是不被支持的(但是DLAN支持组播和广播),如果是基于单播的SIP倒是可以支持。

4.3 分享个最近设置MIG的经验(mig dlan部分也没什么好说的了)
按手册步骤,一般来说设置好部署模式和上网代理,就可以上网了,但是昨天去客户部署MIG的时候,发现某公司公司法上网。回复出厂也不行。后来搜了下论坛,发现也有同样的问题,看到后面的回复后,按照那里的方法,终于可以上网。

报错信息(某公司公司认证丢包,开直通也不能上网)
155740iz3hepaebnhjdzj0.jpg


是否是关闭了认证弹框后又没有开启自动认证?同时某公司公司列表里边未做任何某公司公司的配置?

是的,但是好像开启了自动认证也不行,会有认证弹框,必须匿名上网。

最后解决办法是,勾选”启用认证弹框“,排除IP列表为”0.0.0.0-255.255.255.255“

设置后终于可上网了。(只是为什么不开启就会认证报错呢?比AC还麻烦)

4.4  部分社区,电信ADSL开始不再分配公网IP了(分配1某公司开头的私网IP)。如果有客户特别是广州城区这边的IPSec VPN客户,总部是ADSL拨号的申请了webagent的情况下。如果遇到用得好好的vpn突然用不了,可能就是这个原因,只能让电信协商分配公网IP咯或者购买固定IP的光纤。
142808j4cax4ky0yafpmp0.png
rock_guo 发表于 2015-10-15 13:49
  
我的问题 解决了。
也更新下.
juniper srx240与af1020 的第三方.注意要在juniper srx240 里面的nat 要开一个不要转换的nat(最高优先) 不然流量不走策略VPN.

杨志刚_广州_技术支持 发表于 2015-10-15 17:38
  
好文!~很强大、很详细!!!!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人