ipsec vpn在nat环境下的部署

最新推荐文章于 2024-07-25 10:43:28 发布
最新推荐文章于 2024-07-25 10:43:28 发布
阅读量1.2k 收藏 22
点赞数 24
文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64302290/article/details/136941121
版权

          之前已经做了ipsec  vpn的网关部署实验,不清楚的小伙伴可以移步,更清楚的了解这两次实验的不同:ipsec vpn网关部署实验-CSDN博客

         ipsec   vpn在nat环境下部署的意思就是将用来充当ipsec  vpn设备放在内网中,而不是配置在网关处 ,这样做的目的也是为了更加的安全。

还是用之前的实验图,该图的基本配置已经完成,新加了一个防火墙FW4充当ipsec  vpn的设备:

要求:

所有的基础配置都已经配置完成,要求使用FW4作为VPN设备于分公司的192.168.1.0/24建立ipsec VPN;

实验步骤:

(1):

        我们将FW4划在网段10.0.4.0/24中,并创建vlan4 将其划入其中,在边界设备FW7上在创建一个子接口用于接收vlan4 的流量,并再创建一个区域将子接口划入其中。

LSW1(交换机)上配置:

[sw1]vlan 4
[sw1-vlan4]q
[sw1]in g0/0/5
[sw1-GigabitEthernet0/0/5]p l a
[sw1-GigabitEthernet0/0/5]port default vlan 4
[sw1-GigabitEthernet0/0/5]in g0/0/3
[sw1-GigabitEthernet0/0/3]p l t 
[sw1-GigabitEthernet0/0/3]p t a v 2 3 4
[sw1-GigabitEthernet0/0/3]in g0/0/4
[sw1-GigabitEthernet0/0/4]p l t
[sw1-GigabitEthernet0/0/4]p t a v 2 3 4

在FW1上,在接口g1/0/0创建一个子接口用来接收vlan 4的流量。并把它划入trust区域(注意trust区域并没有进行任何配置,只是为了方便,你们可以自行创建一个区域)

(2):

        首先我们需要在FW1上对于trust区域做源nat,保证出去时的流量的源ip为(12.0.0.1);同时我们还需要将FW4映射出去,做一次目标nat,保证对端可以通过12.0.0.1与FW4建立ipsec。(10.0.4.10是私网地址,外界只能访问到边界,所以需要映射)

FW1:源nat

FW1:目标nat:注意,我们在进行映射的时候需要将FW4的500端口和4500端口都要映射出去,因为——NAT-T技术;

不了解NAT-T技术的小伙伴可以移步:ipsec协议簇详解(IPSec vpn)-CSDN博客

(3):

ipsec  vpn的构建为:野蛮模式+esp+隧道传输

做完(1),(2)后就可以在FW4上创建ipsec vpn了。fw3与fw4上的配置需要保持一样。

FW4:

FW3上:

(4):

在点击应用之后我们会发现ipsec隧道还是没有构建好:

分析:点击诊断后我们会发现是ike协商阶段的流量没有通过,所以我们需要让ike协商阶段的流量通过(即放通UDP的500端口和4500端口):

在FW4上:

FW3上:

FW1:FW1只是作为一个传递ike报文的设备,所以:

此时,我们就可以发现该ipsec隧道已经建立好了:

(5):

分析:当流量来到FW4后会封装一个esp的头部,需要放通esp的流量(loacl<——>untrust),双向过程。

同理:流量到FW3上时也会封装一个esp头部,需要放通esp的流量(loacl<——>untrust),双向过程。

同理:FW1也需要放通esp的流量,因为FW起透传的作用,需要放通(trust<——>电信)双向过程。

FW3上:

FW4上:

FW1上:


(6):

分析:当原始数据包(10.0.2.0/24  ——>192.168.1.0/24)来到FW4之后,防火墙要不要接收该数据取决于安全策略,所以我们需要写一条双向的安全策略来放通原始数据包,只有放通之后防火墙才能进行下一步操作。(将原始数据加密走ipsec通道)。

该操作只需要在FW4和FW3上做,因为在FW1上只会存在esp封装的数据包。

FW4上:

FW3上:

在FW1中,会有23.0.0.2——>12.0.0.1的流量,经过nat之后会变成:23.0.0.2——>10.0.4.10;

所以,在FW上我们还需要放通电信区的(23.0.0.2)——>到trust区的10.0.4.10的流量;

(7):

分析:

我们的目的是要10.0.2.0/24网段访问192.168.1.0/24,所以需要将该流量引入到FW上去,再由FW4将封装过后的流量发给FW1。但此时流量是直接发送给防火墙的,所以我们需要引流。

需要在FW1上写一条静态:

此时我们在次ping129.168.1.10试一下:发现此时并不能通

分析:

我们可以从安全策略,路由两个方面进行排错:

  • 经过实验将FW1,FW3,FW4的安全策略缺省放通,发现还是不能通,可能不是安全策略的问题,接下来看路由。
  • 在查看我们的路由表时发现我们之前写的一条静态路由并没有生效,该流量还是通过nat后发往电信。经过排查,发现在这个实验中我之前写了一条策略路由要求办公区的所有流量走电信,该条策略路由优先于路由条目,所以无法将流量引入到FW4上。

在FW1上将之前写的策略路由禁用:

在此ping时发现还是不能ping通:

分析:可以排除路由的影响,往安全策略方面想,经过排查当我们将FW1上的安全策略缺省放通时就可以ping通,可以发现在FW1上的安全策略上我们还是少放通了什么,我们使用抓包工具在FW1的g1/0/0接口上抓包:发现有10.0.2.0/24——>192.168.1.0/24的流量,但我们并没有放通。

所以我们需要在安全策略上放通即可:

此时,我们再次去ping就可以发现通了:

到此,整个实验就做完了,该实验的难度不是很高主要考察的就是我们的排错思路;

从路由,安全策略等方面来进行思考。

如果在实验的过程中有什么问题可以私信博主哦,该实验主要考察我们的综合能力。

@菜鸟小小
关注
VPN部署场景——IPSec VPN—点到点VPN(1)
君逍遥o
09-21 1791
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信
VPN部署场景——IPSec VPN—点到点VPN(3)
君逍遥o
09-21 1084
如图所示,某公司总部内部有一台OA服务器,其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问,为了方便配置,总部不想有太多的配置,总部只建立一条vpn隧道,实现所有分支机构和总部的通讯。但各个分支与总部的私网地址重叠,需要使用VIP和NAT将两段的网段硬设备不同的IP地址。
防火墙—IPSec VPNNAT 穿透-单侧 NAT
weixin_44080599的博客
06-02 2000
奇安信防火墙 IPSEC VPN 详解
华为防火墙总部与分支机构建立IPsec VPN涉及NAT穿越
weixin_45457085的博客
07-18 1228
隧道建立方式:分为手动建立和IKE自动协商,手动建立需要人为配置指定所有IPsec建立的所有参数信息,不支持为动态地址的发起方,实际网络中很少应用;IKE协议是基于密钥管理协议ISAKMP框架设计而来,建立IKE SA 对等体后,双方通过IKE SA交互数据加密的秘钥信息,并协商建立IPsec SA,数据在IPsec SA上进行加密传输。传输模式和隧道模式:两种方式表现为对报文的封装方式差异。
防火墙—IPSec VPNNAT 穿透-双侧 NAT
weixin_44080599的博客
06-05 4078
奇安信防火墙 IPSEC VPN 详解
ipsec vpn网关部署实验
qq_64302290的博客
03-22 1127
还不了解ipsec协议簇的小伙伴可以移步到我之前的文章:ipsec协议簇详解(IPSec vpn)-CSDN博客 在上期我们已经将ipsec协议簇讲解的非常详细了,接下来我们做一个基于ipsec协议簇,在网关搭建ipsec vpn的实验:实验图:在边界防火墙上搭建IPSEC VPN,要求总公司的办公区能够与子公司的192.168.1.0/24网段通信;已知:FW6与FW7组成了双击热备,已经将各种的安全策略和NAT策略做了,办公区可以访问外网,要求在此基础上搭建IPSEC V
ipsec vpn 旁路nat,使用ike密钥交换
文强的博客
06-06 1978
实现总部和分部PC互通 互联网路由器: system interface GigabitEthernet0/0/0 ip address 1.1.1.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 2.2.2.2 255.255.255.0 AR1: system sysname AR1 ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 #上互联网的路由,配置到对端公网IP路由 ike prop
网络安全防御【IPsec VPN搭建】
最新发布
miss_copper的博客
07-25 1961
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段。登录成功之后需要修改你的密码才能进入防火墙的用户视图。IPsec策略协商成功!成功修改为主备模式!
NAT-T:IPsec穿越NAT之道
热门推荐
u014023993的专栏
01-24 2万+
目录 1. IPsecNAT矛盾 2.  身份确认 3.  NAT-T 3.1 NAT-T流程 3.2 报文格式 4.  地址复用 4.1. 隧道模式下的冲突 4.2. 传输模式下的冲突  4.3. 同一个NAT下的冲突 Q And A 参考资料 1. IPsecNAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsecNAT的基本知识。我们知道IPsec的协议...
IPSEC VPN
weixin_53946822的博客
12-12 166
是一组基于网络层的,应用密码学的安全通信协议族。IPSec不 是具体指哪个协议,而是一个开放的协议族。
HCIE-Security Day35:IPSec-NAT-T
小梁的博客
04-04 1869
NAT穿越场景 在ipsec pn部署中,如果发起者比如fwc位于私网内部,而它希望与fwa之间直接建立一条ipsec隧道,这种情况下nat会对部署ipsec pn网络造成障碍。 在多站点企业中,有的站点连动态的公网IP地址都没有,只能先由网络中的nat设备进行地址转换,然后才能访问internet,此时如果同时需要和另一个站点建立ipsec通道的话,就存在问题。 IPSec是用来保护报文不被修改的,而NAT却专门修改报文的IP地址,所以肯定存在问题。 协商IPSec的过程是由isakmp报文完成的
IPSec VPN配置实验
m0_66993332的博客
03-07 3495
IPSecVPN建立的前提:要想在两个站点之间安全的传输IP数据流,它们之间必须要先进行协商,协商它们之间所采用的加密算法,封装技术以及密钥。需要注意的是,尽管IPSec VPN提供了高度的安全性,但它也可能成为黑客攻击的目标。因此,部署IPSec VPN时,还需要考虑到设备的安全管理和持续的监控,以防止潜在的安全威胁。当对等体之间有了安全的管理连接之后,它们就可以接着协商用于构建安全数据连接的安全参数,这个协商过程是安全的,加密的。3.传输过程中数据的加密方式(des、3des、aes)
使用IPSEC VPN 在有防火墙的场景和有NAT转换的场景下实现隧道通信实验
qq_68163788的博客
08-03 1595
在使用IPsec VPN时,NAT(Network Address Translation)问题可能会导致连接问题。以下是一些常见的IPsec VPN NAT问题和解决方法: NAT Traversal问题:当VPN设备之间存在NAT设备时,IPsec VPN连接可能会受到NAT Traversal问题的影响。解决方法是启用NAT Traversal选项,以确保VPN数据包能够通过NAT设备。 IP地址冲突问题:如果本地网络和远程网络使用相同的IP地址范围,NAT设备可能无法正确转发VPN数据包。
VPN部署场景——点到点VPN—与其他设备互联实例
君逍遥o
09-21 1675
通过在NGFW与H3C路由之间建立ipsec VPN,将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
ICG技术专栏---IPSec方案部署
Sun_Rise2011的专栏
12-09 936
通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程中有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。 一、              常规IPSec方案 上图所示网络环境是最基本的IPSec应用场景: 1.       响应方无论在何种环境都是固定的公网地址; 2.       发起方也是固定的公网地址; 3.       双
安全防御------IPSec VPN
m0_63292411的博客
08-08 1716
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPNNAT和多VPN等问题。
VPN部署场景——高校图书馆SSL VPN配置案例
君逍遥o
09-25 1447
现需求通过组建sslvpn web代理模式和隧道模式以实现: 1.web代理模式:能访问http://lib.xxxx.edu.cn(位于校园网内)该网址,并通过该网址跳转到校外的中国知网等互联网及校园网地址(目标地址不固定,为all) 2.在web代理的模式下,实现用学校防火墙出口ip访问目标网站资源,可实现互联网受限文档的查阅下载。 3.隧道模式:访问校园网内部固定IP地址段的服务器server-2,同时隧道模式下启用隧道分割,客户端获取明细路由,访问非
华为防火墙ipsec vpn nat穿越2种场景配置案例_nat映射ipsec
2401_84254133的博客
04-11 1274
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值