SSLvpn的第三方 与华为AR建立IPSEC vpn
  

大宝剑 Lv1发表于 2018-5-19 09:43

657435aff7d3ee1820.png
项目部采用华为AR采用ADSL线路,总部采用固定IP。
项目部10.100.0.0/16网段访问总部服务器192.168.0.0网段。
通过项目部华为AR路由器出口路由器与总部内网的SSL vpn设备建立IPSEC vpn,实现项目部访问总部系统。

总部SSL vpn配置:
第一阶段:
316515aff7e42b3b80.png
66985aff7e7a04caf.png
第二阶段:
890155aff7ea315476.png
30565aff7ece687ff.png
754125aff7f27bdb3b.png

华为AR:
NAT要deny互访网段:
acl number 3001  
rule 5 deny ip source 10.100.0.0 0.0.255.255 destination 192.168.1.0 0.0.0.255
rule 8 deny ip source 10.100.0.0 0.0.255.255 destination 192.168.0.0 0.0.0.255
rule 10 deny ip source 10.100.0.0 0.0.255.255 destination 192.168.2.0 0.0.0.255
rule 15 deny ip source 10.100.0.0 0.0.255.255 destination 192.168.3.0 0.0.0.255
rule 20 permit ip


acl number 3000                           
rule 5 permit ip source 10.100.0.0 0.0.255.255 destination 192.168.1.0 0.0.0.255
rule 8 permit ip source 10.100.0.0 0.0.255.255 destination 192.168.0.0 0.0.0.255

第一阶段:

ike proposal 1
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5
sa duration 3600
prf hmac-sha2-256

ipsec proposal zb1
esp authentication-algorithm md5
esp encryption-algorithm 3des

第二阶段:
ike peer zb1 v1
exchange-mode aggressive                 
pre-shared-key cipher %^%##$TH(L9k>S4O84/Vg[#1_KrU1t!0PC~_oe,Ij&G<%^%#
ike-proposal 1
local-id-type name
local-id shangye-q
nat traversal
dpd type periodic
remote-address 121.X.X.13
#
ipsec policy zb 1 isakmp
security acl 3000
ike-peer zb1
proposal zb1

interface Dialer1
link-protocol ppp
ppp chap user XXX
ppp chap password cipher XX
ppp pap local-user XX password cipher XX
ppp ipcp dns admit-any
ppp ipcp dns request
tcp adjust-mss 1200
ip address ppp-negotiate
dialer user arweb
dialer bundle 1
dialer-group 1
nat outbound 3001
ipsec policy zb

测试:
AR:ping -a 10.100.1.1 192.168.0.1
disp ike sa  查看第一阶段,含对端公网IP和信息。
disp ipsec sa 查看感兴趣流,检查源目信息和数据包增量大小等。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

难回归线 Lv18发表于 2018-5-19 10:41
  
干货,长知识!思路清晰,图文并茂,非常棒,感谢您对SSL VPN/EMM版块的支持
sangfor_闪电回_晓六 发表于 2018-5-21 09:15
  
非常不错的分享,学习了,感谢感谢
微辣火锅 Lv3发表于 2018-5-21 15:38
  
干货满满,学习了
大宝剑 Lv1发表于 2018-5-25 11:04
  
总部出口设备还要映射UDP 500和UDP 4500 到SSL vpn设备上,实现IPSEC 通信端口对接。
Sabinara Lv1发表于 2018-5-25 15:44
  
认真学习了新知识。谢谢分享!
一骑绝尘 Lv6发表于 2018-7-11 16:42
  
好高级的分享,谢谢。