IPSec VPN与NAT 同时使用注意事项

发布时间:  2015-11-20 浏览次数:  273 下载次数:  0
问题描述

该组网场景如下图所示。两个网关之间存在跨NAT设备,按上述组网图配置接口IP地址、并将接口划入区域、配置域间安全策略IPSec VPN无法建立。


解决方案

1)Client 1和Client 3所处的网段为总部机构,需要在总部配置模板方式的IPSec策略,在配置IKE Peer时不指定对端IP地址,Client2 所处的分支机构配置IKE自协商方式IPSec策略,由分支发起协商请求。

2) Client 1的网段做IPSec VPN , Client 3的网段不需要加密,做NAT后访问公网。在匹配ACL时候,要将2个地址段分开,建立不同的ACL。

客户FW1原来防火墙ACL配置如上图,为了使用IPSec对其中10.1.1.1/24网段做数据加密,需要单独创建一条ACL.即ACL 3000用作NAT,而ACL 3001用作IPSec VPN修为如下:

3) 上述两点是解决方案的核心思路,配置过程中发现了以下4点错误,导致IPSec VPN不能建立,逐步将FW1和FW3配置对齐后,IPSec VPN建立。

Step1:在配置IPSec提议时,两端均要采用ESP协议;


Step2:分别在FW1、FW2、FW3上打开NAT穿越功能;


Step3:IKE PEER 的协商秘钥需要一致;

Step4:配置FW1和FW2的IPSec VPN均为tunnel的方式。


END