|
引:IPsec 报文原理 这次说说IPsec另外两种场景,一种是做外网网关部署环境,一种是旁挂模式部署环境,一般防火墙直接挂在外网然后使用IPsec属于外网网关部署环境,如果VPN设备旁挂于核心或者防火墙之后非公网地址为单臂模式环境。 参考对照表 拓扑图:参旁挂模式拓扑。 针对单臂环境 注:启明防火墙为旁挂模式部署 一、引:某公司防火墙映射VPN需要的UDP 500与4500 6.4 配置步骤 (1)配置网络连通性 保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通。 (2)定义 IP 地址对象、开放端口对象 在【防火墙】--【地址】--【地址】定义内网服务器地址。 在【防火墙】--【服务】--【基本服务】定义开放的端口号 注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口 (3)配置端口映射规则 在【防火墙】--【策略】--【NAT策略】--选择端口映射 公开地址:需要映射的外网口地址(必须为物理接口或者别名设备地址) 拨号用户选择拨号获取到的公网地址即可 内部地址:在地址列表里定义的服务器地址 对外服务:需要对外开放的端口,此处选择vpn端口 注:系统预定义大量常用端口,可以直接使用 对内服务:内网服务器需要开放的端口,此处选择vpn端口500、4500 隐藏内部地址:可选。如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器 如果需要内网用户通过访问公网地址来实现访问内网服务器,则需要将源地址转换为选择为防火墙内网接口地址。 (4)配置安全规则 源地址选择any,目的地址选择为vpn,服务选择为vpn端口。 二、设置某公司配置 (1)配置某公司VPN 接口地址 进入【网络管理】-【网络接口】-【物理设备】,设置eth1和eth2为内外网口地址。 (2)配置防火墙IPsec基本属性 (3)配置某公司VPNIPSEC---VPN规则 进入【VPN】-【IPSec】-【VPN规则】-添加,设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。 设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。 (4)配置某公司VPN的IKE配置 进入【VPN】-【IPSec】-【IKE配置】-添加 这里的预共享密钥和协商模式必须与sangfor设置相同。如果选择野蛮模式,务必设置ID。 (5)配置某公司VPN的网关隧道配置 进入【VPN】-【IPSec】-【网关隧道配置】-添加 这里选择外网口为VPN接口,完美向前保密必须和Sangfor设置相同。缺省策略尽量选择允许,如果选择包过滤需要单独到防火墙策略页面加安全策略(保护网段双向放通)。 (6)隧道监控—启动隧道 三、设置某公司配置 选择外网接口为IPsec线路模式。红色区域勾选。 登入某公司防火墙配置VPN 1、选择第三方对接,选择新建第一阶段配置 点击高级配置,设置ike密钥。 ISAKMP存活时间必须一致。 ISAKMP算法只需要和某公司4种算法其中一种保持一致即可。 DPD要么都开要么都不开。 启明参考: 点击确认保存。 2、选择第二阶段配置 入站为对端IPsec的子网网端,出站为本地内网网端。 设置入站策略 点击确认保存 设置出站策略 SA生存时间参考 注:如果对端设备开启了启用密钥完美向前保密(PFS),本段也必须要开。如果对端非本人配置,建议勾选不勾选都试一下。 否则报错为: 点击确认保存。 3、设置IPsec加密算法(其他设备在第二阶段加密) 4、配置安全策略(放行),放行vpn到LAN,与LAN到VPN. 注意:某公司与其他友商不一样的地方是不需要配置IPsec的感兴趣流,在LAN口直接转发到VPN虚拟接口,不会转发到公网的出接口,所以不需要配置,只需要配置第二阶段的出入向配置。 查看VPN状态 查看路由表:不要在意细节0.0,在意你就输了…… 测试:使用namp进行对某公司内网扫描,发现大量存活主机,ping测试访问正常,远程桌面正常。(未截图) 注意:单臂模式总部的核心交换机需要将访问对端的路由下一跳指向VPN设备。因为VPN对接后本地自动生成ipsec隧道的路由。 图例: 正对外网网关场景 提示:本场景不需要考虑端口映射与静态路由即可。不过多说明。 附:NAT端口映射内网用户想要用公网地址访问的双向NAT问题随笔 | 
发表于 2019-9-12 12:53
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
技术员3级 
