#原创分享#深信服AF+juniper防火墙+ospf+gre隧道封装ipsec组vpn全配置
  

魏少明明明明 601613人觉得有帮助

{{ttag.title}}
本帖最后由 魏少明明明明 于 2021-7-28 10:00 编辑



某公司对接第三方设备,vpn宣告ospf的通用方法,就是gre隧道嵌入ipsec 隧道中,可参考。套路都是一样的。麻烦大家看完之后,在右上角“大拇指”点个赞,谢谢大家


我方公网地址:121.15.213.x     对端公网地址:183.63.36.x
深圳ipsec 私网逻辑隧道地址:200.200.200.x   (随便配置)      惠州ipsec 私网逻辑隧道地址:100.100.100.x   (随便配置)
深圳gre 隧道逻辑地址:172.16.10.1                                           惠州gre 隧道逻辑地址:172.16.10.2

----已经踩过坑,建立好ipsecvpn隧道之后,第二阶段写的是深圳很多内网私网地址192.168.50.0/60.0/70.0 太多地址段,对端防火墙又是子接口宣告ospf路由,即便隧道起来了,和对端根本不通信,根本行不通。



拓扑如下
404755ff3da4d7f3f4.png


【客户背景】:客户原网络拓扑如上,外面一圈都是“专线”,中间两条“虚线”是vpn隧道,有计算好链路开销,所以配置需要修改ospf链路开销。实现效果,优先走深圳到惠州的vpn隧道,在访问到清远和上海,任意一个地区断任意两条,都能访问到对端。【实现vpn跟专线ospf主备效果】    ----别看配置简单,这个我们研究了2天,踩了各种坑才对接起来。

【客户需求】:深圳的jun防火墙要替换成某公司防火墙,那么就需要和惠州建立vpn隧道,问题如下。

问题1:某公司的vpn如何宣告ospf路由?
问题2:对端的惠州是jun防火墙,是在公网创建子接口,在子接口配置私网地址,然后宣告ospf路由,跑自己的私有协议“standard”,两者方式不同如何对接?

【解决方案】:经跟大佬们沟通,某公司要在ipsec隧道的基础上,在封装一层gre隧道,在gre里面配置“隧道口地址”宣告ospf,同理对端惠州的jun工程师需要修改ipsec vpn+gre vpn的部署模式,两者才能对接成功。



大概配置思路: 先把ipsec vpn 建立起来,第二阶段的取流,只写两端私网的逻辑隧道源地址,目的是为了让gre隧道路由封装在ipsec逻辑路由中进行选路。详细配置如下(包括了jun配置)

===================================================



jun的防火墙standard协议解释,找了很久,自定义参数也根本组不起来,协议千奇百怪的。

787235ff3d1ea630eb.png

Junniper防火墙 ,是这个版本 set version 15.1X49-D70.3   web界面很卡,他们工程师都是用命令配置的,web的界面如下。可参考。

628295ff3d096625ba.png

juniper防火墙配置如下(惠州端)

第一步: IPsec对接
set security ike proposal TO-SZHP description TO-SZHP
set security ike proposal TO-SZHP authentication-method pre-shared-keys
set security ike proposal TO-SZHP dh-group group2
set security ike proposal TO-SZHP authentication-algorithm sha1
set security ike proposal TO-SZHP encryption-algorithm 3des-cbc
set security ike proposal TO-SZHP lifetime-seconds 28800

set security ike policy TO-SZHP mode main
set security ike policy TO-SZHP description TO-SZHP
set security ike policy TO-SZHP proposals TO-SZHP
set security ike policy TO-SZHP pre-shared-key ascii-text "$9$pl/BBhreK8db2EcvLNboaFn/"

set security ike gateway TO-SZHP ike-policy TO-SZHP
set security ike gateway TO-SZHP address 121.15.213.x                              #这里是对端深圳公网地址
set security ike gateway TO-SZHP dead-peer-detection always-send
set security ike gateway TO-SZHP dead-peer-detection interval 10
set security ike gateway TO-SZHP dead-peer-detection threshold 5
set security ike gateway TO-SZHP no-nat-traversal
set security ike gateway TO-SZHP local-identity inet 183.63.36.x         #这里是本端惠州公网地址
set security ike gateway TO-SZHP external-interface ge-0/0/2.0
set security ike gateway TO-SZHP version v1-only

第二阶段


set security ipsec policy TO-SZHP2 description TO-SZHP  
set security ipsec policy TO-SZHP2 proposal-set standard  #第二阶段用了“采用标准的协议,jun自定义没有某公司对于的协议”

下面是“取流”
set security ipsec vpn TOSZHP bind-interface st0.0
set security ipsec vpn TOSZHP ike gateway TO-SZHP
set security ipsec vpn TOSZHP ike proxy-identity local 100.100.100.0/24         #本段ip sec的私网逻辑隧道地址段
set security ipsec vpn TOSZHP ike proxy-identity remote 200.200.200.0/24     #对段ip sec的私网逻辑隧道地址段
set security ipsec vpn TOSZHP ike ipsec-policy TO-SZHP2
set security ipsec vpn TOSZHP establish-tunnels immediately

放行安全区域
set security zones security-zone VPN interfaces st0.0 host-inbound-traffic system-services all
set security zones security-zone VPN interfaces st0.0 host-inbound-traffic protocols all


第二步: 设置GRE隧道(利用回环接口IP进行IP封装)
设置GRE隧道接口(源目,接口地址)
set interfaces gr-0/0/0 unit 0 tunnel source 100.100.100.x                        #本段ip sec的私网逻辑隧道地址
set interfaces gr-0/0/0 unit 0 tunnel destination 200.200.200.x                #对段ip sec的私网隧道逻辑地址
set interfaces gr-0/0/0 unit 0 family inet address 172.16.10.2/24             #gre隧道私网地址,宣告ospf路由用
set interfaces lo0 unit 0 family inet address 100.100.100.x/24                   #本段ip sec的私网逻辑隧道地址

设置GRE封装流量的路由指向IPSEC隧道接口
set routing-options static route 200.200.200.0/24 next-hop st0.0            #对段ip sec的私网隧道地址策略路由


设置安全区域放行
set security zones security-zone VPN interfaces lo0.0 host-inbound-traffic system-services all
set security zones security-zone VPN interfaces lo0.0 host-inbound-traffic protocols all
set security zones security-zone VPN interfaces gr-0/0/0.0 host-inbound-traffic system-services all
set security zones security-zone VPN interfaces gr-0/0/0.0 host-inbound-traffic protocols all


第三步:发布OSPF路由
set protocols ospf area 0.0.0.0 interface gr-0/0/0.0 metric 3                    #宣告ospf路由在子接口,并修改开销

某公司防火墙配置(深圳端):

先在vlan中配置号逻辑地址。
9815ff3d58bf2db2.png

690915ff3d59ce5167.png

ipsec 配置

828205ff3d5c648178.png
取流

533575ff3d6774fd71.png

ike配置
874645ff3d69c82018.png

136005ff3d6b6db5ef.png

某公司这里ipsec vpn sa超时时间必须要写3600S,(某公司使用过默认的28800秒,惠州端也配置了28800S,但是1小时候vpn会断,又重连,查看抓包分析数据包是jun防火墙SA更新导致,客户是生产环境,很敏感,排查了一天,不停测试修改协议)最终,测试对端jun防火墙第二阶段使用默认的协议“standard”来对接某公司,这里的sa时间默认是3600s ,不能修改时间。最后发现隧道正常,不会再出现1小时断开的情况。(PS:第二阶段jun防火墙采用过自定义修改算法,但是某公司没有对应协议加密算法)。
607675ff3d6ca80d56.png

此时ip sec vpn隧道建立起来,两端私网逻辑地址能正常通信。
680165ff3d74dcd95c.png

科普一个知识,GRE隧道如果单单在公网跑,他是明文的,可以被第三方直接获取,监听,很不安全。

这里咱们开始配置GRE隧道,目的是:配置gre隧道 嵌入到ipsec vpn中。  

11635ff3d7a8a316c.png


接口宣告:宣告gre隧道的私网地址172.16.10.0/24
155325ff3d7dbb06c0.png


宣告完路由,接口会自动出现gre隧道 tunnel1 的路由配置,点击修改位开销3即可。
654045ff3d7f9e6ba8.png

最后一步验证路由,查看路由,是否有去对端的私网地址的vpntun路由。下一跳是到100.100.100.0的逻辑tunnel1的隧道口出去,从而访问真正的惠州私网地址“

93975ff3d88472294.png

打赏鼓励作者,期待更多好文!

打赏
65人已打赏

Terminator_peng 发表于 2021-1-5 11:21
  
魏神优秀,膜拜
新手589624 发表于 2021-1-6 08:42
  
坚持每天登陆论坛学习
collid 发表于 2021-1-6 12:47
  
感谢LZ分享~打卡学习
新手837717 发表于 2021-1-7 11:10
  
感谢楼主分享,这个很实用。
我梦ZED 发表于 2021-1-7 11:44
  
谢谢分享很有帮助
yanxiu 发表于 2021-1-7 11:56
  
写的很牛×,超详细的哈,学习学习。
maoxs 发表于 2021-1-7 11:58
  
学习学习。。。。。。
新手920702 发表于 2021-1-7 13:59
  
感谢作者分享,步骤写的很详细
新手394045 发表于 2021-1-7 14:06
  
天呐这个好
发表新帖
热门标签
全部标签>
每日一问
GIF动图学习
信服课堂视频
项目案例
技术笔记
产品连连看
在线直播
SDP百科
技术咨询
专家分享
新版本体验
原创分享
VPN 对接
技术圆桌
问题分析处理
功能体验
畅聊IT
上网策略
答题自测
安装部署配置
SANGFOR资讯
产品预警公告
专家问答
MVP
网络基础知识
升级
安全攻防
测试报告
日志审计
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
标准化排查
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本

本版版主

397
97
58

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人