#原创分享#深信服AF+juniper防火墙+ospf+gre隧道封装ipsec组vpn全配置

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与投稿，共计发放奖励100000+“

#点击查看更多原创好文#

---

某公司对接第三方设备，vpn宣告ospf的通用方法，就是gre隧道嵌入ipsec 隧道中，可参考。套路都是一样的。麻烦大家看完之后，在右上角“大拇指”点个赞，谢谢大家

我方公网地址：121.15.213.x     对端公网地址：183.63.36.x

深圳ipsec 私网逻辑隧道地址：200.200.200.x   （随便配置）      惠州ipsec 私网逻辑隧道地址:100.100.100.x   （随便配置）

深圳gre 隧道逻辑地址：172.16.10.1                                           惠州gre 隧道逻辑地址：172.16.10.2

----已经踩过坑，建立好ipsecvpn隧道之后，第二阶段写的是深圳很多内网私网地址192.168.50.0/60.0/70.0 太多地址段，对端防火墙又是子接口宣告ospf路由，即便隧道起来了，和对端根本不通信，根本行不通。

拓扑如下

【客户背景】：客户原网络拓扑如上，外面一圈都是“专线”，中间两条“虚线”是vpn隧道，有计算好链路开销，所以配置需要修改ospf链路开销。实现效果，优先走深圳到惠州的vpn隧道，在访问到清远和上海，任意一个地区断任意两条，都能访问到对端。【实现vpn跟专线ospf主备效果】    ----别看配置简单，这个我们研究了2天，踩了各种坑才对接起来。

【客户需求】：深圳的jun防火墙要替换成某公司防火墙，那么就需要和惠州建立vpn隧道，问题如下。

问题1：某公司的vpn如何宣告ospf路由？

问题2：对端的惠州是jun防火墙，是在公网创建子接口，在子接口配置私网地址，然后宣告ospf路由，跑自己的私有协议“standard”，两者方式不同如何对接？

【解决方案】：经跟大佬们沟通，某公司要在ipsec隧道的基础上，在封装一层gre隧道，在gre里面配置“隧道口地址”宣告ospf，同理对端惠州的jun工程师需要修改ipsec vpn+gre vpn的部署模式，两者才能对接成功。

大概配置思路： 先把ipsec vpn 建立起来，第二阶段的取流，只写两端私网的逻辑隧道源地址，目的是为了让gre隧道路由封装在ipsec逻辑路由中进行选路。详细配置如下（包括了jun配置）

===================================================

jun的防火墙standard协议解释，找了很久，自定义参数也根本组不起来，协议千奇百怪的。

Junniper防火墙 ，是这个版本 set version 15.1X49-D70.3   web界面很卡，他们工程师都是用命令配置的，web的界面如下。可参考。

juniper防火墙配置如下（惠州端）

第一步： IPsec对接

set security ike proposal TO-SZHP description TO-SZHP

set security ike proposal TO-SZHP authentication-method pre-shared-keys

set security ike proposal TO-SZHP dh-group group2

set security ike proposal TO-SZHP authentication-algorithm sha1

set security ike proposal TO-SZHP encryption-algorithm 3des-cbc

set security ike proposal TO-SZHP lifetime-seconds 28800

set security ike policy TO-SZHP mode main

set security ike policy TO-SZHP description TO-SZHP

set security ike policy TO-SZHP proposals TO-SZHP

set security ike policy TO-SZHP pre-shared-key ascii-text "$9$pl/BBhreK8db2EcvLNboaFn/"

set security ike gateway TO-SZHP ike-policy TO-SZHP

set security ike gateway TO-SZHP address 121.15.213.x                              #这里是对端深圳公网地址

set security ike gateway TO-SZHP dead-peer-detection always-send

set security ike gateway TO-SZHP dead-peer-detection interval 10

set security ike gateway TO-SZHP dead-peer-detection threshold 5

set security ike gateway TO-SZHP no-nat-traversal

set security ike gateway TO-SZHP local-identity inet 183.63.36.x         #这里是本端惠州公网地址

set security ike gateway TO-SZHP external-interface ge-0/0/2.0

set security ike gateway TO-SZHP version v1-only

第二阶段

set security ipsec policy TO-SZHP2 description TO-SZHP  

set security ipsec policy TO-SZHP2 proposal-set standard  #第二阶段用了“采用标准的协议，jun自定义没有某公司对于的协议”

下面是“取流”

set security ipsec vpn TOSZHP bind-interface st0.0

set security ipsec vpn TOSZHP ike gateway TO-SZHP

set security ipsec vpn TOSZHP ike proxy-identity local 100.100.100.0/24         #本段ip sec的私网逻辑隧道地址段

set security ipsec vpn TOSZHP ike proxy-identity remote 200.200.200.0/24     #对段ip sec的私网逻辑隧道地址段

set security ipsec vpn TOSZHP ike ipsec-policy TO-SZHP2

set security ipsec vpn TOSZHP establish-tunnels immediately

放行安全区域

set security zones security-zone VPN interfaces st0.0 host-inbound-traffic system-services all

set security zones security-zone VPN interfaces st0.0 host-inbound-traffic protocols all

第二步： 设置GRE隧道（利用回环接口IP进行IP封装）

设置GRE隧道接口(源目，接口地址)

set interfaces gr-0/0/0 unit 0 tunnel source 100.100.100.x                        #本段ip sec的私网逻辑隧道地址

set interfaces gr-0/0/0 unit 0 tunnel destination 200.200.200.x                #对段ip sec的私网隧道逻辑地址

set interfaces gr-0/0/0 unit 0 family inet address 172.16.10.2/24             #gre隧道私网地址，宣告ospf路由用

set interfaces lo0 unit 0 family inet address 100.100.100.x/24                   #本段ip sec的私网逻辑隧道地址

设置GRE封装流量的路由指向IPSEC隧道接口

set routing-options static route 200.200.200.0/24 next-hop st0.0            #对段ip sec的私网隧道地址策略路由

设置安全区域放行

set security zones security-zone VPN interfaces lo0.0 host-inbound-traffic system-services all

set security zones security-zone VPN interfaces lo0.0 host-inbound-traffic protocols all

set security zones security-zone VPN interfaces gr-0/0/0.0 host-inbound-traffic system-services all

set security zones security-zone VPN interfaces gr-0/0/0.0 host-inbound-traffic protocols all

第三步：发布OSPF路由

set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 metric 3                    #宣告ospf路由在子接口，并修改开销

某公司防火墙配置（深圳端）：

先在vlan中配置号逻辑地址。

ipsec 配置

取流

ike配置

某公司这里ipsec vpn sa超时时间必须要写3600S，（某公司使用过默认的28800秒，惠州端也配置了28800S，但是1小时候vpn会断，又重连，查看抓包分析数据包是jun防火墙SA更新导致，客户是生产环境，很敏感，排查了一天，不停测试修改协议）最终，测试对端jun防火墙第二阶段使用默认的协议“standard”来对接某公司，这里的sa时间默认是3600s ，不能修改时间。最后发现隧道正常，不会再出现1小时断开的情况。（PS：第二阶段jun防火墙采用过自定义修改算法，但是某公司没有对应协议加密算法）。

此时ip sec vpn隧道建立起来，两端私网逻辑地址能正常通信。

科普一个知识，GRE隧道如果单单在公网跑，他是明文的，可以被第三方直接获取，监听，很不安全。

这里咱们开始配置GRE隧道，目的是：配置gre隧道 嵌入到ipsec vpn中。  

接口宣告：宣告gre隧道的私网地址172.16.10.0/24

宣告完路由，接口会自动出现gre隧道 tunnel1 的路由配置，点击修改位开销3即可。

最后一步验证路由，查看路由，是否有去对端的私网地址的vpntun路由。下一跳是到100.100.100.0的逻辑tunnel1的隧道口出去，从而访问真正的惠州私网地址“

魏神优秀，膜拜

坚持每天登陆论坛学习

感谢LZ分享~打卡学习

感谢楼主分享，这个很实用。

谢谢分享很有帮助

写的很牛×，超详细的哈，学习学习。

学习学习。。。。。。

感谢作者分享，步骤写的很详细

天呐这个好