VPN部署场景——IPSec VPN—点到点VPN(2)

最新推荐文章于 2024-04-12 03:40:24 发布
最新推荐文章于 2024-04-12 03:40:24 发布
阅读量614 收藏 3
点赞数
分类专栏: 锐捷网络 文章标签: 网络 PKI IPSec VPN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/133134398
版权

目录

Ⅰ  PKI证书认证

Ⅱ  IPSec VPN排错

 

Ⅰ  PKI证书认证

一、组网需求

        如图所示,通过VPN将2个局域网连接起来,vpn隧道需要采用证书认证方式来协商,实现192.168.0.0/24与192.168.1.0/24两个网段的通信

二、网络拓扑

三、配置要点

       1、配置NGFW1

                 1)基本上网配置(详细请参见”路由模式上网配置章节“)

            2)证书配置

                  3)IKE阶段1

                  4)IKE阶段2

                  5)配置路由

                    6)配置策略

               

       2、配置NGFW2

                 1)基本上网配置(详细请参见”路由模式上网配置章节“)

            2)证书配置

                  3)IKE阶段1

                  4)IKE阶段2

                  5)配置路由

                    6)配置策略

说明:如果要删除IPSEC VPN第一阶段、第二阶段时,需要先删除被调用的路由或防火墙安全策略。

四、配置步骤

       1、配置NGFW1

                 1)基本上网配置

            配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:

            接口地址:

  路由:

2)证书配置
           a.生成证书请求

           进入: 系统管理--证书--本地证书

点击 “生成证书” ,根据表格填写证书签名请求。

   证书名称:自定义

           Id类型: 主机IP

           IP :  防火墙本地IP地址

      其他可选项自行填写

      注册方法:基于文件,或者在线SCEP,本例以基于文件为例。

          b. 下载证书请求文件,勾选fw1vpn, 点击下载按钮,将fw1vpn.csr文件保存。

将该文件提交给证书认证中心进行签署。可以使用OPEN SSL 软件,微软证书系统等。

          c.将经过CA中心认证的证书导入防火墙,

           进入系统管理--证书--本地证书,点击导入证书

选择 fw1vpn.cer文件,确定

导入本地证书后,页面如下:

d. 导入CA证书

           进入 系统管理--证书--CA证书,点击导入证书

选择VPN的CA证书文件:

导入后,页面如下:

  3) IKE阶段1        

           a、 菜单:虚拟专网--IPSEC--自动交换秘钥,点击创建阶段1

名称: VPN,用于标识作用,接口模式下,将用于VPN虚拟接口的名字

            远程网关:  静态IP

            IP地址: 对端防火墙的外网接口的IP地址200.1.1.2

     本地接口:  防火墙与对端设备建立VPN所使用的接口,通常为外网接口.

            认证方式:  RSA签名

            证书名称: fw1vpn

            b、

           

  启动IPsec接口模式:勾选,

            其他参数适用默认参数,参数细节请参考《阶段1参数》一节

            c、点击OK

            4)IKE阶段2

            a、 菜单:虚拟专网--IPSEC--自动交换秘钥,点击创建阶段1

名称:阶段2 的名字, vpn2

            阶段1: 该阶段2 关联的阶段1.  

            b、点击, 弹出高级参数选项。

勾选弹出选项中的“保持存活” 其他默认。

            c、点击ok。

            5)配置路由

目的IP/子网掩码:  对方防火墙所保护的子网 ,

            设备:  配置VPN所生成的接口。

            6)配置策略

            进入 防火墙--策略--策略, 点击 “新建” 按如下方式创建策略,。

            通可以该策略对两端2个子网之间的访问进行控制,UTM等,

            策略如下:

            策略1: 允许本地的192.168.0.0网段,访问对端的192.168.1.0网段

策略2: 允许对端的192.168.1.0网段,访问本端的192.168.0.0网段

2、配置NGFW2

                 1)基本上网配置

            配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:           

            接口地址:

   路由:

2)证书配置
            a.生成证书请求

            进入 系统管理--证书--本地证书

点击 “生成证书” ,根据表格填写证书签名请求。

证书名称:自定义

             Id类型: 主机IP

             IP :  防火墙本地IP地址

    其他可选项自行填写

    注册方法:基于文件,或者在线SCEP,本例以基于文件为例。

             b.下载证书请求文件,勾选fwqvpn, 点击按钮,将fw1vpn.csr文件保存。

将该文件提交给证书认证中心进行签署。可以使用OPEN SSL 软件,微软证书系统等。Windows CA操作可参照本章附件。

             c.将经过CA中心认证的证书导入防火墙, 点击 导入证书

选择 fw1vpn.cer文件,确定

导入本地证书后,页面如下:

   d.导入CA证书,点击导入证书

 

选择VPN的CA证书文件按:

导入后,页面如下:

    3)IKE阶段1

名称: VPN,用于标识作用,接口模式下,将用于VPN虚拟接口的名字

            远程网关:  静态IP地址

            IP地址: 对端防火墙的外网接口的IP地址100.1.1.2

     本地接口:  防火墙与对端设备建立VPN所使用的接口,通常为外网接口.

            认证方式:  RSA签名

            书名称:fw2vpn

启动IPsec接口模式:勾选,

            其他参数适用默认参数,参数细节请参考《阶段1参数》一节

                  4)阶段2

            a.菜单:虚拟专网--IPSEC--自动交换秘钥,点击创建阶段1

   名称:阶段2 的名字, vpn2

           阶段1: 该阶段2 关联的阶段1.

           b、点击, 弹出高级参数选项。

勾选弹出选项中的“保持存活” 其他默认。

           c.点击ok。

                  5)配置路由

目的IP/子网掩码:  对方防火墙所保护的子网 ,

            设备:  配置VPN所生成的接口。

                    6)配置策略

            进入 防火墙--策略--策略, 点击 “新建” 按如下方式创建策略,。

            通可以该策略对两端2个子网之间的访问进行控制,UTM等,

            策略如下:

            策略1: 允许本地的192.168.1.0网段,访问对端的192.168.0.0网段

策略2: 允许对端的192.168.0.0网段,访问本端的192.168.1.0网段

五、检查配置结果

        查看VPN监视器,观察状态: 虚拟专网--监视器--IPsec检测。

 ping测试,2个内网可以相互访问。

Ⅱ  IPSec VPN排错

一、常见故障原因

常见的协商失败问题:

1.预共享密钥不一致;

2.加密算法或认证算法参数不一致;

3.阶段二中的快速选择器两端不匹配;

4.策略配置或顺序错误;

排错命令:

RG-WALL #diagnose debug enable

RG-WALL #diagnose debug application ike -1

有多个网关时,过滤后观察 ike的协商过程:

diagnose vpn ike log-filter dst-addr4 <对端网关的IP地址>    

diagnose vpn ike log-filter src-addr4 <本地网关的IP地址>

diagnose vpn ike log-filter dst-port  <IKE协商的对端端口,比如500>

diagnose vpn ike log-filter src-port  <IKE协商的本地端口,比如500>

常见故障分析:

1.加密、认证算法不一致:主要由第一阶段认证算法、加密算法不一致导致;请检查建立ipsec双方设备上的认证、加密算法是否一致;

抓包结果:

排查位置:主要检查下图红框中的加密、认证算法双方是否匹配

2.DH算法不一致:两端DH算法不一致

抓包结果

排查位置:主要检查下图红框中的DH组双方是否一致(常见dh组抓包显示:DH group 1 (768-bit)、DH group 2 (1024-bit)、DH group 5 (1536-bit))

3.预共享秘钥不一致

抓包结果:

ike 0:mobile:5140: responder: main mode get 3rd message...

ike 0:mobile:5140: dec A5BF9FFD3412F8CD24C7C54635FA869705100201000000000000005CF50FA936BEFB6D99E76CD6FAA679D77858160C306FE83B03F7DB8CFB680BB864AB42391BA3C5A5ADCDFB2D6CF1CEEC0A6AC0BAC12DFEABEC25E534580E6EFF32

ike 0:mobile:5140: probable pre-shared secret mismatch

排查位置:检查如下图红框位置

域共享秘钥正常抓包显示:

ike 0:mobile:5122: responder: main mode get 3rd message...

ike 0:mobile:5122: dec 0AB1AD6CF994A06023E867B8EBB63F4505100201000000000000005C0800000C01000000C0A8FE020B000018608B589D57388681EC1286989FB775C88FEB66D20000001C00000001011060020AB1AD6CF994A06023E867B8EBB63F45

ike 0:mobile:5122: received notify type 24578

ike 0:mobile:5122: PSK authentication succeeded

ike 0:mobile:5122: authentication OK

4.第一阶段正常协商提示

ike 0:0ab1ad6cf994a060/0000000000000000:5122: negotiation result

ike 0:0ab1ad6cf994a060/0000000000000000:5122: proposal id = 1:

ike 0:0ab1ad6cf994a060/0000000000000000:5122:   protocol id = ISAKMP:

ike 0:0ab1ad6cf994a060/0000000000000000:5122:      trans_id = KEY_IKE.

ike 0:0ab1ad6cf994a060/0000000000000000:5122:      encapsulation = IKE/none

ike 0:0ab1ad6cf994a060/0000000000000000:5122:         type=OAKLEY_ENCRYPT_ALG, val=AES_CBC.

ike 0:0ab1ad6cf994a060/0000000000000000:5122:         type=OAKLEY_HASH_ALG, val=SHA.

ike 0:0ab1ad6cf994a060/0000000000000000:5122:         type=AUTH_METHOD, val=PRESHARED_KEY_XAUTH_I.

ike 0:0ab1ad6cf994a060/0000000000000000:5122:         type=OAKLEY_GROUP, val=1536.

ike 0:0ab1ad6cf994a060/0000000000000000:5122: ISAKMP SA lifetime=28800

ike 0:0ab1ad6cf994a060/0000000000000000:5122: SA proposal chosen, matched gateway mobile

5.第二阶段快速选择器不匹配

抓包显示

排查位置:请确认下图红框中双方网段设置是否匹配

其他常用命令

1.有多个网关时,过滤后观察ike的协商过程:

diagnose vpn ike log-filter dst-addr4 <对端网关的IP地址>   

diagnose vpn ike log-filter src-addr4 <本地网关的IP地址>

diagnose vpn ike log-filter dst-port  <IKE协商的对端端口,比如500>

diagnose vpn ike log-filter src-port  <IKE协商的本地端口,比如500>

2.查看VPN通道命令:diagnose  vpn tunnel  list

RG-WALL # diagnose  vpn tunnel  list

list all ipsec tunnel in vd 0

------------------------------------------------------

name=mobile_0 ver=1 serial=4 192.168.118.25:4500->192.168.118.151:10954 lgwy=static tun=intf mode=dial_inst bound_if=5

parent=mobile index=0

proxyid_num=1 child_num=0 refcnt=7 ilast=3 olast=3

stat: rxp=10 txp=0 rxb=1280 txb=0

dpd: mode=active on=1 idle=5000ms retry=3 count=0 seqno=22

natt: mode=silent draft=32 interval=10 remote_port=10954

proxyid=mobile proto=0 sa=1 ref=2 auto_negotiate=0 serial=1

  src: 0:0.0.0.0-255.255.255.255:0

  dst: 0:10.0.0.10-10.0.0.10:0

  SA: ref=4 options=00000006 type=00 soft=0 mtu=1280 expire=1671 replaywin=1024 seqno=1

  life: type=01 bytes=0/0 timeout=1790/1800

  dec: spi=b2ad0f87 esp=aes key=16 046a1e666f7ae7b2aaf6197a13ea5818

       ah=sha1 key=20 6f607decd4416c203911070d960cd5f26e2061bf

  enc: spi=dfe610a1 esp=aes key=16 453e333a15416cfdb6ab95d324fa3ffe

       ah=sha1 key=20 2a2d1cee5da51a1503ddb18599a265d5dce51e5a

  dec:pkts/bytes=10/608, enc:pkts/bytes=0/0

  npu_flag=02 npu_rgwy=192.168.118.151 npu_lgwy=192.168.118.25 npu_selid=2

------------------------------------------------------

name=mobile ver=1 serial=1 192.168.118.25:0->0.0.0.0:0 lgwy=static tun=intf mode=dialup bound_if=5

proxyid_num=0 child_num=1 refcnt=5 ilast=29 olast=29

stat: rxp=0 txp=0 rxb=0 txb=0

你可知这世上再难遇我
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
VPN系统使用说明pdf
06-16
我校目前使用的VPN系统已经和我校的门户系统实现了用户集成工作, 校内门户系统的用户均可以使用门户系统的用户名和密码来使用VPN 系统。如在门户系统中对密码进行了修改,则登录VPN系统的时候也 需使用新的密码登录...
HCL模拟器IPSec VPN实验
05-13
HCL模拟器IPSec VPN实验
VPN部署场景——IPSec VPN点到点VPN(3)
君逍遥o
09-21 923
如图所示,某公司总部内部有一台OA服务器,其余分3个支机构都需要通过vpn拨入总部内网对OA服务器进行访问,为了方便配置,总部不想有太多的配置,总部只建立一条vpn隧道,实现所有分支机构和总部的通讯。但各个分支与总部的私网地址重叠,需要使用VIP和NAT将两段的网段硬设备不同的IP地址。
云安全技术——搭建VPN
热门推荐
qq_53142796的博客
05-08 3万+
VPN(Virtual Private Network)是一种可以在公共网络上建立安全连接的技术。VPN是实现保密通信的基本手段,在windows系统上,可以直接进行VPN服务的搭建。1.VPN的工作原理:通过使用加密协议和认证机制,将本地计算机和远程服务器之间的通信加密和保护。2.VPN的分类:根据不同的方式和用途,VPN可以分为不同类型,例如远程访问VPN、站点到站点VPN等。3.VPN的优势:VPN可以带来许多好处,如提高数据安全性、隐藏真实IP地址、突破地理限制等。4.
VPN入门教程(非常详细),从零基础入门到精通,看完这一篇就够了(1)
2401_84182824的博客
04-12 3604
这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
VPN部署场景——点到点VPN—与其他设备互联实例
君逍遥o
09-21 1416
通过在NGFW与H3C路由之间建立ipsec VPN,将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
VPN部署场景——高校图书馆SSL VPN配置案例
君逍遥o
09-25 1322
现需求通过组建sslvpn web代理模式和隧道模式以实现: 1.web代理模式:能访问http://lib.xxxx.edu.cn(位于校园网内)该网址,并通过该网址跳转到校外的中国知网等互联网及校园网地址(目标地址不固定,为all) 2.在web代理的模式下,实现用学校防火墙出口ip访问目标网站资源,可实现互联网受限文档的查阅下载。 3.隧道模式:访问校园网内部固定IP地址段的服务器server-2,同时隧道模式下启用隧道分割,客户端获取明细路由,访问非
一文带你了解VPN
H931053的博客
07-26 8254
VPN-Virtual Private Network)指的是在[]上建立[]的技术。之所以称为[]主要是因为整个[]的任意两个[]的物理链路,而是架构在公用网络服务商所提供的网络平台(如Internet,ATM,Frame Relay等)之上的[],用户数据在逻辑链路中传输。例如某公司员工出差到外地,他想访问企业[]的服务器资源,这种访问就属于。在VPN中,专用路由器设置会让它们彼此连接的站点上,并且它们通过连。
VPN的介绍及自建点对点的OpenVPN和使用方法:保姆级详细教程,(windou客户端版)后附脚本
m0_58833554的博客
02-23 6992
VPN的基本知识介绍及自建VPN使用方法
东南大学网络工程与组网技术实验——GRE OVER IPSEC(VPN+安全)
07-04
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
思科路由器对接山石网科防火墙——IPSec.doc
08-18
思科路由器对接山石网科防火墙——IPSec.doc
关于vpn考试必会的20道题
最新发布
05-13
关于vpn考试必会的20道题
VPN(虚拟专用网)攻略大全,你一定会用到!
SPOTO2021的博客
10-23 6637
在手工配置SA时,需要手工指定SPI的取值。GRE可以对某些网络层协议(如IPX、IPv4、IPv6等)的报文进行封装,使封装后的报文能够在另一种网络中(如IPv4)传输,从而解决了跨越异种网络的报文传输问题。隧道协议通过在隧道的一端给数据加上隧道协议头,即进行封装,使这些被封装的数据能都在某网络中传输,并且在隧道的另一端去掉该数据携带的隧道协议头,即进行解封装。隧道接口(Tunnel Interface)是为实现报文的封装而提供的一种点对点类型的虚拟接口,与Loopback接口类似,都是一种逻辑接口。
IPSec 使用证书的方法
校园一站式平台大学生创业团队,初心从未改变
02-14 1088
答:访问https://192.168.60.11/certsrv选择申请证书->高级申请->提交一个证书申请。第一步:确保两台主机那进行通信,并在同一个域里(或同一个证书颁发机构颁发的证书)申请IPSec证书。答:需要使用https访问申请。第二步:把ipsec安全策略身份验证方法更改为证书验证。答:进入ca颁发机构 证书模板添加ipsec证书模板。问:没有提交一个证书申请的按钮怎么办?问:CSP显示加载中没有反应怎么办?问:没有IPSec模板怎么解决?
【Windows Server 2019 Ipsec安全策略】关于Server中配置IPSec的步骤实现两机之间的安全通信
校园一站式平台大学生创业团队,初心从未改变
02-14 3108
在第一台电脑(192.168.30.11)打开cmd输入·ping 192.168.30.12 -t,在第二台电脑(192.168.30.12)打开cmd输入 ping 192.168.30.11 -t。查看第一台创建策略后两个cmd的变化,查看第两台创建策略后两个cmd的变化。本地安全策略,是指对登陆到计算机上的账号定义一些安全设置,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安全。首先进入本地安全策略->IP安全策略->创建IP策略。tips:创建好策略后记得分配~
细说IPSec 密钥交换,(数字证书认证、PSK、数字信封)
pz641的博客
05-19 3621
在采用IKE动态协商方式建立IPSec隧道时,SA有两种:一种IKE SA,另一种是IPSec SA。建立IKE SA目的是为了协商用于保护IPSec隧道的一组安全参数,建立IPSec SA的目的是为了协商用于保护用户数据的安全参数,但在IKE动态协商方式中,IKE SA是IPSec SA的基础,因为IPSec SA的建立需要用到IKE SA建立后的一系列密钥。本文介绍在IKE动态协商方式建立IPSec隧道时的基本工作原理。一、IKE动态协商综述手工方式建立SA存在配置复杂、不支持发起方地址动态变化、建立的
VPN部署场景——PKI证书Client-GW
君逍遥o
09-22 224
某公司内部有一台OA服务器,在外移动办公的工作人员需要通过vpn,拨入到公司内网来对内网服OA服务器进行访问,采用证书认证的方式。
【安全防御】IPsec VPN
weixin_68047790的博客
04-21 783
安全防御之IPsec VPN
openvpn使用场景
05-25
OpenVPN是一款开源的虚拟私人网络VPN)软件,可用于以下场景: 1. 远程工作:OpenVPN可以让用户安全地远程连接到公司网络,访问公司资源,进行远程工作。 2. 保护隐私:使用OpenVPN可以加密您的互联网连接,保护您的隐私,防止您的在线活动被追踪或监视。 3. 绕过网络限制:有些国家和组织可能会对某些网站或在线服务进行限制或屏蔽,OpenVPN可以帮助用户绕过这些限制,访问被屏蔽的内容。 4. 安全访问公共Wi-Fi:公共Wi-Fi网络通常不安全,OpenVPN可以保护您的互联网连接,防止黑客窃取您的个人信息。 5. 远程访问家庭网络:如果您需要远程访问家庭网络中的设备或文件,OpenVPN可以帮助您实现这个目标。 总之,OpenVPN可以提供安全的互联网连接,保护用户的隐私和安全,并且适用于各种场景

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值