新手615704 发表于 2020-10-30 14:41
  
求问,我按照上面的配置指导,虽然将ipsec建立起来了,但是内网地址不通,请问是什么问题?需要写路由么?还是防火墙要增加策略?
新手182135 发表于 2020-11-20 12:39
  
谢谢分享
深信服与 xx USG防火墙做第三方IPsec对接
  

kmyd 188361人觉得有帮助

{{ttag.title}}
一、环境介绍
总部是深信服的VPN,分支用的xxUSG的防火墙,现在业务需要,二边做IPSEC VPN,实现内网数据互通。
二、拓朴
160320rlnqyn2gml5j6jj5.png
三、客户需求
1、数据在网络上传输要求加密,保证数据安全
2、总部、分支内网数据实现互通

四、配置步骤
1、xxUSG防火墙命配置
命令行的配置
1)、//IPsec感兴趣数据流配置
acl number 3000     
rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

2)、//第一阶段参数配置和AF的参数方式一致
ike proposal 1   
encryption-algorithm 3des     //配置IKE安全提议中使用的加密算法为3des
dh group2                              //DH群组2
sa duration 3600                  //SA超时时间为3600
#
ike peer ike261115182368
exchange-mode auto                //协商模式为自动
pre-shared-key %$%$>MUmGhf(*.kFC~26z~uX)MD;%$%$    //预共享密钥,和AF一致
ike-proposal 1                           //引用已配置的IKE安全提议
undo version 2                          //去使能IKE版本2,也就是用IKE版本1
remote-id-type none                    //不校验对端ID类型
remote-address 200.200.200.2    //对端地址
undo nat traversal                     //去使能NAT穿越

3)、//第二阶段参数配置和AF的参数方式一致
ipsec proposal prop26111518236
encapsulation-mode auto              //配置报文的封装模式为自动
esp authentication-algorithm sha1    //ESP认证算法为sha1
esp encryption-algorithm 3des       //ESP加密算法为3des
#
ipsec policy ipsec2611151823 1 isakmp
security acl 3000                  //配置安全策略引用的ACL为3000
pfs dh-group2                     //配置安全策略进行协商时使用PFS特性
ike-peer ike261115182368          //在安全策略中引用IKE对等体
alias IPSEC
proposal prop26111518236         //安全策略中引用的IPSec安全提议
sa duration traffic-based 1843200    //SA基于流量超时为1843200
sa duration time-based 3600         //SA基于时间超时为3600

4)、//IPSEC应用在外网接口
interface Ethernet0/0/0
ip address 100.100.100.2 255.255.255.0
ipsec policy ipsec2611151823 auto-neg

5)、//IPSEC的流量不做NAT转换, policy 0是不做NAT转换的策略, policy 1是内网地址转换的策略。
nat-policy interzone trust untrust outbound
policy 0
  action no-nat
  policy source 192.168.0.0 mask 24
  policy destination 192.168.10.0 mask 24

policy 1
  action source-nat
  policy source 192.168.0.0 mask 24
  easy-ip Ethernet0/0/0

WEB配置截图
1)、配置第一阶段,身份认证,参数配置,二边设备要一致。
2)、配置第二阶段,加密算法二边要一致。
3)、VPN的隧道的网段不做NAT转换。


2、深信服配置:
1)、配置第一阶段
2)、配置第二阶段
入站策略
出站策略,完美密钥向前保密对应xx防火墙的PFS。
安全选项:

3、测试结果
1)、xx防火墙IPSEC连接成功的状态

2)、深信服 VPN连接成功的状态

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
社区帮助指南
技术晨报
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人