本帖最后由 武汉通威—大佬刘超 于 2025-2-26 10:16 编辑
1.前言
零信任替代SSL VPN已成趋势,但是零信任缺少VPN相关功能一直令人诟病,但零信任发布了2.5.10版本,确实弥补了这个一直让人头疼的问题,虽然目前还是缺少sangfor vpn的板块,但是有ipsec vpn的板块至少先填了这个坑,可以让客户放心去替换SSL VPN,但是零信任要使用ipsec需要将零信任升级到2.5.10版本,这里就分享下项目中碰到的零信任ipsec对接的过程。 2.零信任配置 零信任ipsec vpn板块属于标准的ipsec协议,适用于标准的ipsec对接,所以做零信任进行ipsec对接时要获取标准ipsec对接需要的参数 2.1获取对接参数 (1)标准IPSEC VPN阶段一需要协商的参数有:IKE版本、对接模式、预共享密钥、身份ID、生存周期、D-H群、ISAKMP认证算法、ISAKMP加密算法、两端设备身份类型、NAT-T、DPD (2)标准IPSEC VPN阶段二需要协商的参数有:IPSEC协议、D-H群、认证算法、加密算法、SA生存时间、密钥完美向前保密(PFS)、入站网段、出站网段 2.2配置VPN线路 2.3配置VPN对接参数 配置基本配置、配置兴趣流 配置高级配置 配置ike版本、身份id、DH组、生存时间等 配置一阶段算法 配置超时时间 3.对端设备配置(以深信服防火墙为例) 3.1外网线路配置 3.2配置vpn对接参数 4.隧道建立成功 5.其他补充 零信任组建IPSEC,需要通过零信任设备本身访问对端,如何去实现 5.1确定访问源地址 零信任设备本身通过IPSEC隧道访问使用的是vpntun口地址 这个需要通过在零信任上抓包看零信任用哪个地址访问 5.2将vpntun口地址添加到兴趣流 5.3访问成功 零信任控制台维护页面测试访问正常 零信任客户端接入后访问正常
*注意事项 IPSEC通信如果经过防火墙设备需要将ipsec数据流在ACL中放通
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2025-2-27 11:45
工程师3级 