华为USG防火墙:中间有NAT, 通过映射vpn设备的方式建立ipsec vpn(vpn间有NAT时,要放通udp4500)(不用另行放行ESP)(如果在VPN上ping对端,需要加上内网源地址)
华为USG防火墙:中间有NAT, 通过映射vpn设备的方式建立ipsec vpn(vpn间有NAT时,要放通udp4500)(不用另行放行ESP, 因为ESP数据包用的就是UDP4500)(如果在VPN上ping对端,需要加上内网源地址)
NAT-T
为了使IPsec穿越NAT,RFC3948提出了如下的方法:当需要穿越NAT设备时,ESP报文会被封装在一个UDP头中,源和目的端口号均是4500。有了这个UDP头就可以正常进行转换。
华为USG防火墙:中间有NAT, 通过映射vpn设备的方式建立ipsec vpn--eve文件.zip
建立ipsec vpn的过程(对等体中间有NAT).pcapng
(1)拓扑图
(2)基本配置
接口的配置:
总公司:
fw1:
fw2:
分公司:
fw3:
fw4:
路由配置
总公司:
fw1:
fw2:
分公司:
fw3:
fw4:
安全策略的配置:
总公司:
fw1:
fw2:
分公司:
fw3:
fw4:
NAT配置
总公司:
fw1:
fw2:
分公司:
fw3:
fw4:
(3)IPSec配置
总公司:
fw2:
分公司:
fw4:
vpn的建立结果
总公司:
fw2:
分公司:
fw4:
查看策略命中日志(前提是安全策略中的“记录策略命中日志”勾要选上)
总公司:
fw1:
fw2:
分公司:
fw3:
fw4:
(2)在ISP路由器上抓包,发现vpn的流量都是ESP, 但是在4台防火墙中的安全策略命中是查不到ESP的放行流量,而且安全策略中没也有放行ESP的流量。
总公司与分公司的终端设备ping下,要不抓不到esp的流量的。
ESP数据包用的就是UDP4500
建议与总结
IPSec:配置参数(第一阶段、第二阶段)端口UDP4500与UDP500(中间有NAT与没有NAT的区别)
http://www.zh-cjh.com/wangluoanquan/3498.html
(如果在VPN上ping对端,需要加上内网源地址)
VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为USG防火墙:中间有NAT, 通过映射vpn设备的方式建立ipsec vpn(vpn间有NAT时,要放通udp4500)(不用另行放行ESP)(如果在VPN上ping对端,需要加上内网源地址)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm