|
引:IPsec 报文原理 IPsec有两种场景,一种是NAT44环境,一种是NAT444环境,一般防火墙外网配置静态地址的是NAT44环境,如果外网接口配置为PPPOE的是NAT444环境。也可以使用内网客户端上使用百度查询IP,查看地址是否与防火墙上一致。
针对NAT44环境 一、设置某公司配置 配置第一阶段算法与对端地址为任意
注意:密钥与算法的DH组。 配置第二阶段感兴趣流
查看安全策略放行状态:
配置某公司防火墙内网地址(192.168.2.0)访问本端内网地址(192.168.200.0)源NAT转换(内网与200段为三层互联非同段地址)。
查看VPN状态
查看路由表是否生成通往192.168.2.0路由(注意出接口为IPsec0)
二、设置某公司配置
登入某公司防火墙配置VPN
1、选择第三方对接,选择新建第一阶段配置
点击高级配置,设置ike密钥
点击确认保存。 2、选择第二阶段配置
入站为对端IPsec的子网网端,出站为本地内网网端。 设置入站策略
点击确认保存 设置出站策略
点击确认保存。 3、设置IPsec加密算法(其他设备在第二阶段加密,如果友商IPsec有DH组,第二阶段可以不需要配置,)
4、配置安全策略(放行),放行vpn到LAN,与LAN到VPN.
注意:某公司与其他友商不一样的地方是不需要配置IPsec的感兴趣流,在LAN口直接转发到VPN虚拟接口,不会转发到公网的出接口,所以不需要配置,只需要配置第二阶段的出入向配置。
查看VPN状态
测试:使用namp进行对某公司内网扫描,发现大量存活主机,ping测试访问正常,远程桌面正常。(未截图)
正对NAT444场景(例如100的地址)野蛮模式对接 提示:
某公司设置
某公司设置 注意DPD死亡对等体检测,要么都开,要么都不开,否则会照成VPN路由黑洞。
| 
发表于 2021-1-28 11:11
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
