华为USG防火墙:建立ipsec vpn的安全策略配置(中间没有NAT)(不仅要放行udp500(此实验中可以不放行udp4500),还要放行ESP,如果不放行esp服务,则能成功建立起vpn,但两端ping不通对方)(流量会被加密成esp服务在互联网中传输)(反向注入路由)
华为USG防火墙:建立ipsec vpn的安全策略配置(中间没有NAT)(不仅要放行udp500(此实验中可以不放行udp4500),还要放行ESP服务,如果不放行esp,则能成功建立起vpn,但两端ping不通对方)(流量会被加密成esp服务在互联网中传输)(反向注入路由)
NAT-T
为了使IPsec穿越NAT,RFC3948提出了如下的方法:当需要穿越NAT设备时,ESP报文会被封装在一个UDP头中,源和目的端口号均是4500。有了这个UDP头就可以正常进行转换。
华为USG防火墙:建立ipsec vpn的安全策略配置(中间没有NAT)-eve文件.zip
建立ipsec vpn过程(对等体直接,中间没有NAT).pcapng
(1)拓扑图
(2)基本配置
接口配置:
fwa:
fwb:
安全策略配置:
fwa:
security-policy
default policy logging
default session logging
rule name ipsec
policy logging
session logging
source-address address-set 100.100.100.1/32
destination-address address-set 200.200.200.1/32
service UDP4500
service UDP500
action permit
rule name ping
policy logging
session logging
source-address address-set 192.168.10.0/24
destination-address address-set 192.168.20.0/24
action permit
fwb:
NAT配置:
fwa:
#
nat-policy
rule name vpn
source-zone trust
source-address address-set 192.168.10.0/24
destination-address address-set 192.168.20.0/24
action no-nat
rule name internet
source-zone trust
destination-zone untrust
source-address address-set 192.168.10.0/24
action source-nat easy-ip
#
路由配置:
fwa:
ip route-static 0.0.0.0 0.0.0.0 100.100.100.254
fwb:
ip route-static 0.0.0.0 0.0.0.0 200.200.200.254
(3.1)配置ipsec:
fwa:
fwb:
vpn已建立起来:
fwA:
fwb:
测试结果:两端的vpn建立显示是成功了,但是两端的电脑还是ping不通
(3.2)查看策略命中日志(前提是安全策略中的“记录策略命中日志”勾要选上)
查看日志:从日志中可以看到ESP流量被禁止了。
fwa:
fwb:
IPSec使用的安全协议
IPSec使用认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两种IP传输层协议来提供认证或加密等安全服务。
修改安全策略:
fwa:
fwb:
测试:还是ping不通,原因:icmp流量在对端上没有放行
fwa:
fwb:
重新修改安全策略:
fwa:
fwb:
测试:已经可以ping通
测试,如果把允许esp的流量的策略关闭,这时还能ping通吗?
陈:不通,此实验中,只要有一边没有放行esp流量,都会不通,vpn通了后,流量会被加密成ESP在Internet中传输:
此实验中,在isp处抓ipsec的vpn流量:
测试:如果不放行udp4500,vpn通建立起来?双方面还能ping通吗?
陈:可以,此实验中,经过测试不放行udp4500也是可以的。
不放行udp4500后,查看命中策略:都是用udp500,没有看到udp4500,而且源端口和目的端口一样。
fwa:
fwb:
测试反向注入路由:不管在一台防火墙或者两台防火墙中都最反向注入路由,此实验中的两个子网能过vpn都最是通的。
从抓中可以看到,ESP没有包含udp4500端口。
建议与总结
IPSec:配置参数(第一阶段、第二阶段)端口UDP4500与UDP500(中间有NAT与没有NAT的区别)
http://www.zh-cjh.com/wangluoanquan/3498.html
VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为USG防火墙:建立ipsec vpn的安全策略配置(中间没有NAT)(不仅要放行udp500(此实验中可以不放行udp4500),还要放行ESP,如果不放行esp服务,则能成功建立起vpn,但两端ping不通对方)(流量会被加密成esp服务在互联网中传输)(反向注入路由)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm