本文主要講述Site-to-Site的IPsec VPN的配置以及注意事項。此網絡結構又稱爲Gateway to Gateway IPSec,兩個網關彼此建立IPSec通道,將網關背後的內部網絡通過IPSec隧道安全的連接起來。
防火牆1的配置
1)打開VPN->IPSec->IKE網頁,創建IPSec的階段一,遠程網關地址選擇防火牆2的地址,模式選擇主模式。如下:
名稱 ipsec_p1
遠程網關 Static IP address IP
地址 172.20.120.120
本地接口 port1
模式 Main(ID protection)
認證方式 Preshared key
預共享密鑰 123456
創建IPSec階段2,管理剛創建的階段一:
名稱 ipsec_p2
階段1 ipsec_p1
階段一與階段二的加密和驗證參數採用系統默認即可。
2)定義需要進行IPSec加密的數據流,即10.10.1.0/24與92.168.1.0/24直接的數據流。進入Firewall Objects> 地址 頁面,新建兩個地址,注意選擇IP地址對應的正確接口:
名稱 firewall_1_net
類型 Subnet/IP範圍
子網/IP範圍 10.10.1.0/255.255.255.0
接口 port2
名稱 firewall_2_net
類型 Subnet/IP範圍
子網/IP範圍 192.168.1.0/255.255.255.0
接口 port1
3)進入 Policy> 策略 頁面。指定IPSec策略:
源接口/區域 port2
源地址 firewall_1_net
目標接口/區域 port1
目標地址 firewall_2_net
時間表 Always
服務 ANY
動作 IPSEC VPN
通道 ipsec_p1
解釋如下:由port2接口進入防火牆1的源IP地址屬於firewall_1_net網段(10.10.1.0/24)的流量,在其從port1接口發出到目的地爲firewall_2_net網段(192.168.1.0/24)時,進入ipsec_p1創建的IPSec隧道。
防火牆2的配置
防火牆2的配置與防火牆1基本相同,僅需要將涉及到的IP地址更換爲拓撲中防火牆2相關IP。不在累述。
注意事項
此時整個配置基本完成,IPSec隧道已經建立起來。但經過測試,兩邊的網絡不通。原因如下:對於防火牆1來說,目的地址爲192.168.1.0/24網段的數據包在進入防火牆之後,並不能匹配我們創建的IPSec策略,也就不能通過IPSec隧道。因爲防火牆在轉發節點(FORWARD)上,即port2->port1時,做策略匹配。而在這之前(PRE_ROUTING HOOK點之後),防火牆會查找路由來確定數據包的出口,沒有到192.168.1.0/24網絡的路由,數據包被丟棄。
在防火牆1增加一條路由解決此問題,即到192.168.1.0/24的出接口爲port1。