防火墙 USG5120V3R1 用LoopBack口建立L2TP OVER IPSEC

发布时间:  2014-06-12 浏览次数:  610 下载次数:  0
问题描述
需求:防火墙部署在核心交换旁路模式,客户要求外网用户需要用L2TP OVER IPSEC拨入到防火墙并且访问到内网用户
网络环境分析:防火墙untrust区域的wan口是接内网交换机,然后内网交换通过默认路由到网络出口,所以说防火墙untrust区域接口只能配置一个内网互联ip地址,但是L2TP vpn需要用公网地址,所以公网地址写在了loopback口,然后通过防火墙与与核心交换运行动态路由协议ospf,把公网地址通告到核心交换机中,使外网能够访问到防火墙!

拓扑:




L2TP OVER IPSEC部署:
L2TP-------------

l2tp enable
l2tpmoreexam enable
undo l2tp domain suffix-separator @

interface Virtual-Template2
ppp authentication-mode chap
alias Virtual-Template2
ip address xx.1.1.1 255.255.255.0
remote address pool 1

l2tp-group 1
allow l2tp virtual-template 2
tunnel password cipher xxxxxxx
tunnel name LNS

aaa
ip pool 1 xx.1.1.2 xx.1.1.100
 local-user wzl password cipher xxxxxxxxxxxx
local-user wzl service-type ppp
local-user wzl level 15

IPSEC--------------------

ike proposal 1
encryption-algorithm des-cbc
dh group2
authentication-algorithm md5

ike peer peer1                           
exchange-mode aggressive
pre-shared-key %$%$Xv:!~+q]r5&[7EQam"DATlcZ%$%$
ike-proposal 1
local-id-type fqdn
remote-id vpnclient

ipsec proposal p1
esp authentication-algorithm md5
esp encryption-algorithm des


ipsec policy-template template 1
security acl 3001
ike-peer peer1
proposal p1 

ipsec policy vpn 100 isakmp template template

疑问:ipsec policy 策略给哪里挂?








告警信息
ipsec policy 加入到loopback口属于无效命令!

处理过程
解决方案:防火墙与核心交换的互联口虽然是内网ip地址,但是防火墙必须要有untrust口,所以把防火墙互联接口加入untrust区域,策略挂入到untrust接口下,问题解决!但必须保证loopback口的ip地址能够让外网正常访问,运行路由协议
根因
分析:loopback口是个逻辑回环口不能挂入ipsec policy 策略,怎么办?
建议与总结
ipsec 策略挂在一个不是L2TP 访问的地址接口上,怎样处理呢?

1.ipsec目的地址   为防火墙loopback,通过路由访问到了防护墙,

考虑:这条数据流是通过untrust接口进入的,同时也触发了ipsec策略,其目的地址任然是防火墙

因为你loopback口代表是换回地址,也就是本身防火墙

END