FAQ--AR路由器DDNS+IPSEC 配置实例

发布时间:  2016-06-13 浏览次数:  591 下载次数:  0
问题描述
需求:

两个局域网采用AR系列路由器通过ADSL拨号连接到Internet,总部服务器端局域网地址为192.168.9.0/24,分支机构客户端局域网地址为192.168.10.0/24,需要在两台AR上配置IPSEC实现互通;


解决方案
一、配置思路

1 服务器端申请花生壳DDNS,自动更新DNS解析。

2 客户端发起IPSEC连接。

二、配置步骤,关键配置如下:

1 配置DDNS,首先在花生壳网站申请DDNS,申请方法详见官网,记下用户名、密码、

域名;Username:test2016,密码test_2016(密码不能有@),域名:test2016.oicp.net

2 在服务器端路由器配置DDNS:脚本如下:

dns resolve

dns server 61.128.128.68

ddns policy oray

url oray://test2016:test_2016@phddnsdev.oray.net  //注意用户名和密码

#

interface Dialer1

ddns apply policy oray   //接口下应用DDNS策略

nat outbound 3002

3 查看DDNS更新是否成功

<RT-PuLuoSi>dis ddns  policy

Policy name          : oray

Policy interval time : 3600

Policy URL           : oray://test2016:test_2016@phddnsdev.oray.net

Policy bind count    : 1

=====  interface Dialer1 ======

  Statuses           : ESTABLISH(2)   // ESTABLISH表示更新成功

  Refresh            : enable

4 配置IPSEC,服务器端采用模板方式。配置如下:

服务器端:

acl number 3002

 rule 5 deny ip source 192.168.9.0 0.0.0.255 destination 192.168.10.0 0.0.0.255  //VPN数据不进行Nat转换

 rule 10 permit ip source 192.168.9.0 0.0.0.255

#

ipsec proposal p1      //ipsec 安全提议,默认即可

ike peer server v2      //IKE对等体V2

 pre-shared-key simple huaweivpn   //共享密钥

 dpd type periodic     //定时DPD

 dpd retransmit-interval 5   //每隔5秒一个周期

ipsec policy-template temp 1  

 ike-peer server

 proposal p1

#

ipsec policy policy99 10 isakmp template temp

#

interface Dialer1

ipsec policy policy99   //应用Ipsec策略

nat outbound 3002

#

客户端:

acl number 3001

 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.9.0 0.0.0.255 //配置Ipsec兴趣流

#

acl number 3002

 rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.9.0 0.0.0.255

 rule 10 permit ip source 192.168.10.0 0.0.0.255

#

ipsec proposal p1

#

ike peer toserver v2

 pre-shared-key simple huaweivpn

 dpd type periodic

 dpd retransmit-interval 5

 remote-address test2016.oicp.net   //此处为域名

#

ipsec policy policy99 10 isakmp

 security acl 3001

 ike-peer toserver

 proposal p1

#

interface Dialer1

ipsec policy policy99

nat outbound 3002

三、验证结果

<RT-Client>ping -a 192.168.10.1 192.168.9.1

PING 192.168.9.1: 56  data bytes, press CTRL_C to break

Reply from 192.168.9.1: bytes=56 Sequence=1 ttl=255 time=15 ms

Reply from 192.168.9.1: bytes=56 Sequence=2 ttl=255 time=14 ms

Reply from 192.168.9.1: bytes=56 Sequence=3 ttl=255 time=16 ms

Reply from 192.168.9.1: bytes=56 Sequence=4 ttl=255 time=17 ms

Reply from 192.168.9.1: bytes=56 Sequence=5 ttl=255 time=15 ms

四、配置注意事项

1 Nat Outbound必须将兴趣流Deny

2、必须配置DPD,如果不配置DPD,造成一端掉线,另一端SA没有清除。

 

END