×

SangforAF IPsecvpn 对接启明星辰旁挂模式与外围网关模式
  

安城丶 9990

{{ttag.title}}
引:IPsec 报文原理
                              
这次说说IPsec另外两种场景,一种是做外网网关部署环境,一种是旁挂模式部署环境,一般防火墙直接挂在外网然后使用IPsec属于外网网关部署环境,如果VPN设备旁挂于核心或者防火墙之后非公网地址为单臂模式环境。
参考对照表
  
某公司
  
某公司
第一阶段
IKE密钥周期
ISAKMP存活时间
第二阶段
IPsec密钥周期
SA生存时间
感兴趣流,出入站
VPN规则
出站、入站流量
拓扑图:参旁挂模式拓扑。
针对单臂环境
注:启明防火墙为旁挂模式部署
一、引:某公司防火墙映射VPN需要的UDP 500与4500
6.4 配置步骤
(1)配置网络连通性
保证防火墙外网接口到互联网能够连通,内网接口到服务器能够连通。
(2)定义 IP 地址对象、开放端口对象
  在【防火墙】--【地址】--【地址】定义内网服务器地址。
在【防火墙】--【服务】--【基本服务】定义开放的端口号
注:源端口低和高一般不需要填写,除非是客户端限定了访问源端口
(3)配置端口映射规则
  在【防火墙】--【策略】--【NAT策略】--选择端口映射
公开地址:需要映射的外网口地址(必须为物理接口或者别名设备地址)
拨号用户选择拨号获取到的公网地址即可
内部地址:在地址列表里定义的服务器地址
对外服务:需要对外开放的端口,此处选择vpn端口
注:系统预定义大量常用端口,可以直接使用
对内服务:内网服务器需要开放的端口,此处选择vpn端口500、4500
隐藏内部地址:可选。如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器
如果需要内网用户通过访问公网地址来实现访问内网服务器,则需要将源地址转换为选择为防火墙内网接口地址。
(4)配置安全规则
源地址选择any,目的地址选择为vpn,服务选择为vpn端口。
二、设置某公司配置
(1)配置某公司VPN 接口地址
进入【网络管理】-【网络接口】-【物理设备】,设置eth1和eth2为内外网口地址。
(2)配置防火墙IPsec基本属性
(3)配置某公司VPNIPSEC---VPN规则
进入【VPN】-【IPSec】-【VPN规则】-添加,设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。
设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。
(4)配置某公司VPN的IKE配置
进入【VPN】-【IPSec】-【IKE配置】-添加
这里的预共享密钥和协商模式必须与sangfor设置相同。如果选择野蛮模式,务必设置ID。
(5)配置某公司VPN的网关隧道配置
进入【VPN】-【IPSec】-【网关隧道配置】-添加
这里选择外网口为VPN接口,完美向前保密必须和Sangfor设置相同。缺省策略尽量选择允许,如果选择包过滤需要单独到防火墙策略页面加安全策略(保护网段双向放通)。
(6)隧道监控—启动隧道
三、设置某公司配置
选择外网接口为IPsec线路模式。红色区域勾选。
登入某公司防火墙配置VPN
1、选择第三方对接,选择新建第一阶段配置
点击高级配置,设置ike密钥。
ISAKMP存活时间必须一致。
ISAKMP算法只需要和某公司4种算法其中一种保持一致即可。
DPD要么都开要么都不开。
  
启明参考:
点击确认保存。
2、选择第二阶段配置
入站为对端IPsec的子网网端,出站为本地内网网端。
设置入站策略
点击确认保存
设置出站策略
  
SA生存时间参考
注:如果对端设备开启了启用密钥完美向前保密(PFS),本段也必须要开。如果对端非本人配置,建议勾选不勾选都试一下。 否则报错为:
点击确认保存。
3、设置IPsec加密算法(其他设备在第二阶段加密)
4、配置安全策略(放行),放行vpn到LAN,与LAN到VPN.
注意:某公司与其他友商不一样的地方是不需要配置IPsec的感兴趣流,在LAN口直接转发到VPN虚拟接口,不会转发到公网的出接口,所以不需要配置,只需要配置第二阶段的出入向配置。
查看VPN状态
查看路由表:不要在意细节0.0,在意你就输了……
测试:使用namp进行对某公司内网扫描,发现大量存活主机,ping测试访问正常,远程桌面正常。(未截图)
注意:单臂模式总部的核心交换机需要将访问对端的路由下一跳指向VPN设备。因为VPN对接后本地自动生成ipsec隧道的路由。
图例:
正对外网网关场景
提示:本场景不需要考虑端口映射与静态路由即可。不过多说明。
附:NAT端口映射内网用户想要用公网地址访问的双向NAT问题随笔

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_29822 发表于 2019-9-16 17:32
  
感谢楼主的分享,方便了后续与某公司产品的三方对接时的配置理解。文中“某公司与其他友商不一样的地方是不需要配置IPsec的感兴趣流”----其实咱们的出入站配置就类似感兴趣流了。最后,关于双向NAT的介绍,期待楼主的详细分享,这个图还是抽象了点:白眼:
沧海 发表于 2019-9-13 11:57
  
截图很详细  学习下
黄波 发表于 2019-9-17 09:11
  
打卡打卡
黄波 发表于 2019-9-17 09:12
  
打卡打卡
黄波 发表于 2019-9-17 09:12
  
打卡打卡
黄波 发表于 2019-9-17 09:12
  
打卡打卡
新手548437 发表于 2019-9-18 08:55
  
感谢分享。
帆聆海 发表于 2019-9-18 10:35
  
666 截图详细,很好很好
秋水伊人 发表于 2019-9-20 12:03
  
很详细,感谢分享!
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
新版本体验
技术笔记
【 社区to talk】
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
信服课堂视频
每周精选
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人