华为USG防火墙:中间有NAT, 通过映射vpn设备的方式建立ipsec vpn(vpn间有NAT时,要放通udp4500)(不用另行放行ESP)(如果在VPN上ping对端,需要加上内网源地址)

华为USG防火墙:中间有NAT, 通过映射vpn设备的方式建立ipsec vpn(vpn间有NAT时,要放通udp4500)(不用另行放行ESP, 因为ESP数据包用的就是UDP4500)(如果在VPN上ping对端,需要加上内网源地址)

NAT-T
为了使IPsec穿越NAT,RFC3948提出了如下的方法:当需要穿越NAT设备时,ESP报文会被封装在一个UDP头中,源和目的端口号均是4500。有了这个UDP头就可以正常进行转换。

华为USG防火墙:中间有NAT, 通过映射vpn设备的方式建立ipsec vpn--eve文件.zip

建立ipsec vpn的过程(对等体中间有NAT).pcapng

(1)拓扑图

图片.png

(2)基本配置

接口的配置:

总公司:
fw1:
图片.png

fw2:
图片.png
分公司:
fw3:
图片.png
fw4:

图片.png

路由配置
总公司:
fw1:
图片.png
fw2:
图片.png
分公司:
fw3:

图片.png

fw4:


安全策略的配置:
总公司:
fw1:
图片.png
fw2:
图片.png
分公司:
fw3:
图片.png
fw4:

图片.png

NAT配置
总公司:
fw1:
图片.png

fw2:
图片.png
分公司:
fw3:
图片.png
fw4:

图片.png

(3)IPSec配置
总公司:
fw2:
图片.png

分公司:
fw4:
图片.png


vpn的建立结果
总公司:
fw2:
图片.png
分公司:
fw4:

图片.png

查看策略命中日志(前提是安全策略中的“记录策略命中日志”勾要选上)

总公司:
fw1:
图片.png

fw2:
图片.png
分公司:
fw3:
图片.png
fw4:

图片.png

(2)在ISP路由器上抓包,发现vpn的流量都是ESP, 但是在4台防火墙中的安全策略命中是查不到ESP的放行流量,而且安全策略中没也有放行ESP的流量。

总公司与分公司的终端设备ping下,要不抓不到esp的流量的。

图片.png

ESP数据包用的就是UDP4500

esp udp4500.pcapng

图片.png


建议与总结
IPSec:配置参数(第一阶段、第二阶段)端口UDP4500与UDP500(中间有NAT与没有NAT的区别)
http://www.zh-cjh.com/wangluoanquan/3498.html


(如果在VPN上ping对端,需要加上内网源地址)

图片.png



VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist

http://www.zh-cjh.com/wenzhangguilei/1193.html

文章归类、所有文章列表、LISTLIST

http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为USG防火墙:中间有NAT, 通过映射vpn设备的方式建立ipsec vpn(vpn间有NAT时,要放通udp4500)(不用另行放行ESP)(如果在VPN上ping对端,需要加上内网源地址)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!