华为USG防火墙:建立ipsec vpn的安全策略配置(中间没有NAT)(不仅要放行udp500(此实验中可以不放行udp4500),还要放行ESP,如果不放行esp服务,则能成功建立起vpn,但两端ping不通对方)(流量会被加密成esp服务在互联网中传输)(反向注入路由)

华为USG防火墙:建立ipsec vpn的安全策略配置(中间没有NAT)(不仅要放行udp500(此实验中可以不放行udp4500),还要放行ESP服务,如果不放行esp,则能成功建立起vpn,但两端ping不通对方)(流量会被加密成esp服务在互联网中传输)(反向注入路由)

NAT-T
为了使IPsec穿越NAT,RFC3948提出了如下的方法:当需要穿越NAT设备时,ESP报文会被封装在一个UDP头中,源和目的端口号均是4500。有了这个UDP头就可以正常进行转换。

华为USG防火墙:建立ipsec vpn的安全策略配置(中间没有NAT)-eve文件.zip

建立ipsec vpn过程(对等体直接,中间没有NAT).pcapng

fwa_2022.11.17.09时33分34秒.txt

fwb_2022.11.17.09时33分52秒.txt

isp_2022.11.17.09时34分18秒.txt

(1)拓扑图

图片.png

(2)基本配置

接口配置:

fwa:

图片.png

fwb:

图片.png


安全策略配置:

fwa:

security-policy                           
 default policy logging
 default session logging
 rule name ipsec
  policy logging
  session logging
  source-address address-set 100.100.100.1/32
  destination-address address-set 200.200.200.1/32
  service UDP4500
  service UDP500
  action permit
 rule name ping
  policy logging
  session logging
  source-address address-set 192.168.10.0/24
  destination-address address-set 192.168.20.0/24
  action permit

图片.png

fwb:

图片.png


NAT配置:

fwa:

#
nat-policy                                
 rule name vpn
  source-zone trust
  source-address address-set 192.168.10.0/24
  destination-address address-set 192.168.20.0/24
  action no-nat
 rule name internet
  source-zone trust
  destination-zone untrust
  source-address address-set 192.168.10.0/24
  action source-nat easy-ip
#

图片.png

图片.png

路由配置:

fwa:
ip route-static 0.0.0.0 0.0.0.0 100.100.100.254
fwb:
ip route-static 0.0.0.0 0.0.0.0 200.200.200.254

(3.1)配置ipsec:

fwa:

图片.png

fwb:

图片.png

vpn已建立起来:

fwA:

图片.png

fwb:

图片.png

测试结果:两端的vpn建立显示是成功了,但是两端的电脑还是ping不通

图片.png

(3.2)查看策略命中日志(前提是安全策略中的“记录策略命中日志”勾要选上)

图片.png

查看日志:从日志中可以看到ESP流量被禁止了。

fwa:

图片.png

fwb:

图片.png

IPSec使用的安全协议
IPSec使用认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两种IP传输层协议来提供认证或加密等安全服务。

图片.png

修改安全策略:

fwa:

图片.png

fwb:

图片.png

测试:还是ping不通,原因:icmp流量在对端上没有放行

fwa:

图片.png

fwb:

图片.png

重新修改安全策略:

fwa:

图片.png

fwb:

图片.png

测试:已经可以ping通

图片.png

测试,如果把允许esp的流量的策略关闭,这时还能ping通吗?

陈:不通,此实验中,只要有一边没有放行esp流量,都会不通,vpn通了后,流量会被加密成ESP在Internet中传输:

此实验中,在isp处抓ipsec的vpn流量:

图片.png



测试:如果不放行udp4500,vpn通建立起来?双方面还能ping通吗?

陈:可以,此实验中,经过测试不放行udp4500也是可以的。

图片.png

不放行udp4500后,查看命中策略:都是用udp500,没有看到udp4500,而且源端口和目的端口一样。

fwa:

图片.png

fwb:

图片.png


测试反向注入路由:不管在一台防火墙或者两台防火墙中都最反向注入路由,此实验中的两个子网能过vpn都最是通的。

图片.png

图片.png


从抓中可以看到,ESP没有包含udp4500端口。

ESP.pcapng

图片.png


建议与总结
IPSec:配置参数(第一阶段、第二阶段)端口UDP4500与UDP500(中间有NAT与没有NAT的区别)
http://www.zh-cjh.com/wangluoanquan/3498.html



VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist

http://www.zh-cjh.com/wenzhangguilei/1193.html

文章归类、所有文章列表、LISTLIST

http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为USG防火墙:建立ipsec vpn的安全策略配置(中间没有NAT)(不仅要放行udp500(此实验中可以不放行udp4500),还要放行ESP,如果不放行esp服务,则能成功建立起vpn,但两端ping不通对方)(流量会被加密成esp服务在互联网中传输)(反向注入路由)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!