本文主要讲述Site-to-Site的IPsecurity IKEv1协议的配置以及注意事项。此网络结构又称为网络到网络的IPSecurity,两个网关彼此建立IPSecurity通道,将网关背后的内部网络通过IPSecurity通道安全的连接起来。
防火墙1的配置
1)打开虚拟专用网络->IPSec->IKE网页,创建IPSecurity的阶段一,远程网关地址选择防火墙2的地址,模式选择主模式。如下:
名称 ipsec_p1
远程网关 Static IP address IP
地址 172.20.120.120
本地接口 port1
模式 Main(ID protection)
认证方式 Preshared key
预共享密钥 123456
创建IPSec阶段2,管理刚创建的阶段一:
名称 ipsec_p2
阶段1 ipsec_p1
阶段一与阶段二的加密和验证参数采用系统默认即可。
2)定义需要进行IPSecurity加密的数据流,即10.10.1.0/24与92.168.1.0/24直接的数据流。进入Firewall Objects> 地址 页面,新建两个地址,注意选择IP地址对应的正确接口:
名称 firewall_1_net
类型 Subnet/IP范围
子网/IP范围 10.10.1.0/255.255.255.0
接口 port2
名称 firewall_2_net
类型 Subnet/IP范围
子网/IP范围 192.168.1.0/255.255.255.0
接口 port1
3)进入 Policy> 策略 页面。指定IPSecurity策略:
源接口/区域 port2
源地址 firewall_1_net
目标接口/区域 port1
目标地址 firewall_2_net
时间表 Always
服务 ANY
动作 IPSEC VPN
通道 ipsec_p1
解释如下:由port2接口进入防火墙1的源IP地址属于firewall_1_net网段(10.10.1.0/24)的流量,在其从port1接口发出到目的地为firewall_2_net网段(192.168.1.0/24)时,进入ipsec_p1创建的IPSecurity隧道。
防火墙2的配置
防火墙2的配置与防火墙1基本相同,仅需要将涉及到的IP地址更换为拓扑中防火墙2相关IP。不在累述。
注意事项
此时整个配置基本完成,IPSecurity隧道已经建立起来。但经过测试,两边的网络不通。原因如下:对于防火墙1来说,目的地址为192.168.1.0/24网段的数据包在进入防火墙之后,并不能匹配我们创建的IPSecurity策略,也就不能通过IPSecurity隧道。因为防火墙在转发节点(FORWARD)上,即port2->port1时,做策略匹配。而在这之前(PRE_ROUTING HOOK点之后),防火墙会查找路由来确定数据包的出口,没有到192.168.1.0/24网络的路由,数据包被丢弃。
在防火墙1增加一条路由解决此问题,即到192.168.1.0/24的出接口为port1。