“Ipsecvpn”的版本间的差异

来自WFilter上网行为管理系统文档和指南
跳转至: 导航搜索
 
(未显示同一用户的6个中间版本)
第15行: 第15行:
 
* 先在A创建IPSec隧道,把“远程IP”设置为“不限制”。
 
* 先在A创建IPSec隧道,把“远程IP”设置为“不限制”。
 
* B、C分别创建隧道,把“远程IP”设置为A的公网IP。
 
* B、C分别创建隧道,把“远程IP”设置为A的公网IP。
* 这样AB、AC之间的IPSec VPN隧道就建立起来了。默认配置下,B和C都可以访问A内网。但是B和C之间默认是不互联的,如需实现B和C的互联,需要配置路由表和A的防火墙策略。具体配置请参见下面的例子。
+
* 这样AB、AC之间的IPSec VPN隧道就建立起来了。具体配置请参见下面的例子。
  
 
具体配置如下:
 
具体配置如下:
第31行: 第31行:
 
'''请注意''':
 
'''请注意''':
 
* 防火墙规则手动模式时,VPN对端的终端是不允许访问本地局域网的,您需要在“配置”->“防火墙设置”中进行策略控制(VPN对端的接口为“外网”,方向为“转发”)
 
* 防火墙规则手动模式时,VPN对端的终端是不允许访问本地局域网的,您需要在“配置”->“防火墙设置”中进行策略控制(VPN对端的接口为“外网”,方向为“转发”)
 +
* 自动防火墙规则时,会自动在创建ipsec的wan口上允许vpn转发数据,当有多个wan口时,由于分流策略的影响,建议手动添加对应的防火墙策略。
 
* 如果启用了DMZ,需要把ipsec的端口“500,4500”加到例外的端口中去。否则无法建立连接。
 
* 如果启用了DMZ,需要把ipsec的端口“500,4500”加到例外的端口中去。否则无法建立连接。
 
* IPSec隧道的WAN口有多个静态IP时,只会在第一个静态IP上监听。
 
* IPSec隧道的WAN口有多个静态IP时,只会在第一个静态IP上监听。
第55行: 第56行:
  
 
[[文件:ipsec_center02.png|800px]]
 
[[文件:ipsec_center02.png|800px]]
 
* 允许分支之间互访
 
不添加此项配置,不影响分支访问总部,只是分支之间不能互访。
 
 
[[文件:ipsec_center03.png|800px]]
 
  
 
=== 分支B的配置 ===
 
=== 分支B的配置 ===
第65行: 第61行:
  
 
[[文件:ipsec_client01.png|800px]]
 
[[文件:ipsec_client01.png|800px]]
 
* 添加到分支C的路由表
 
目标网段填分支C的子网,下一跳地址填写总部A的公网IP。不添加路由表并不影响到总部A的访问,添加路由表就可以访问分支C的网络。
 
 
[[文件:ipsec_client02.png|600px]]
 
  
 
=== 分支C的配置 ===
 
=== 分支C的配置 ===
第75行: 第66行:
  
 
[[文件:ipsec_client03.png|800px]]
 
[[文件:ipsec_client03.png|800px]]
* 添加到分支B的路由表
 
目标网段填分支B的子网,下一跳地址填写总部A的公网IP。不添加路由表并不影响到总部A的访问,添加路由表就可以访问分支B的网络。
 
  
[[文件:ipsec_client04.png|800px]]
+
经过上述步骤,即可使AB、AC之间互联互通。如果B和C之间也需要互通,那么在总部的ipsec“本地网络”中把B、C的网段都加上。如图:
  
经过上述步骤,即可使A、B、C之间互联互通。如果B、C之间不需要互通,则无需添加路由表和总部的防火墙规则。
+
[[文件:ipsec_client04.png|800px]]
  
 
== 单臂部署的IPSecVPN组网 ==
 
== 单臂部署的IPSecVPN组网 ==
第104行: 第93行:
  
 
[[文件:passby_ipsec05.png|800px]]
 
[[文件:passby_ipsec05.png|800px]]
 +
 +
= IPSec常见问题 =
 +
== IPSec VPN不能建立连接 ==
 +
* 检查两边的ike版本、加密参数、网段参数、密钥是否符合。
 +
* 如果配置都正确,检查是否有DMZ主机或者端口映射了ipsec的端口(udp 500和udp 4500)。
 +
== IPSec VPN可以连接,但是不能互访 ==
 +
* 检查两边的ip段是否重复。
 +
* 检查防火墙策略有没有允许“外网转发”方向。
 +
* 多wan口时要把ipsec的接口设置为默认网卡。
 +
== IPSec VPN可以互访,但是无法打开WSG的Web界面 ==
 +
* 需要添加允许(外网入)的防火墙规则。
 +
== IPSec客户端能否处于防火墙后面 ==
 +
* 完全可以。即使前端的防火墙/路由器/光猫重新获取IP,也可以保持联通状态,不需要重拨。
  
 
= 相关链接 =
 
= 相关链接 =
  
 
* [http://www.imfirewall.com/blog/post/450.html 如何控制IPSec VPN的对端访问权限?]
 
* [http://www.imfirewall.com/blog/post/450.html 如何控制IPSec VPN的对端访问权限?]
 +
* [http://www.imfirewall.com/blog/post/324.html 一次典型的IPSec VPN组网方案]
  
 
[[Category:VPN]]
 
[[Category:VPN]]

2021年3月9日 (二) 11:14的最新版本

1 IPSec隧道

IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。

该模块用于在多个WFilter局域网之间建立IPSec VPN通道,使多个局域网变成一个VPN(虚拟局域网)。WFilter的IPSec隧道没有数量限制,只要硬件许可,理论上可以建立无数个IPSec隧道。

2 IPSec隧道配置

在建立IPSec隧道前,要先进行规划。举例如下:

  • 假设你有3个局域网A、B、C。
  • A有固定公网IP,B、C都是动态IP。

那么建议的方案是:

  • 首先A、B、C的内网网段要不一样。比如分别是:192.168.10.0/24,192.168.20.0/24和192.168.30.0/24。
  • 先在A创建IPSec隧道,把“远程IP”设置为“不限制”。
  • B、C分别创建隧道,把“远程IP”设置为A的公网IP。
  • 这样AB、AC之间的IPSec VPN隧道就建立起来了。具体配置请参见下面的例子。

具体配置如下:

  • 接口:配置隧道的WAN口线路。
  • 本地网络:参与VPN互联的本地局域网网段。
  • 远程地址:对方局域网的公网IP或者域名(包括动态域名),或者设置为“不限制”让对方局域网拨入。
  • 远程网络:远程的内网网段,可以填写多个IP段。比如:“192.168.20.0/24,192.168.30.0/24,172.16.1.0/24”。
  • 共享密钥:隧道的共享密码,隧道两侧的密码必须一致。
  • 模式:服务端(等待客户端来连接),客户端(主动连接)
  • 防火墙规则:自动(自动允许对端连接本地内网)、手动(需要手动配置防火墙策略)
  • IKE、ESP:验证、传输的加密方式,隧道两侧的IKE版本,IKE以及ESP的加密方式必须一致。

Ipsec01.png

请注意

  • 防火墙规则手动模式时,VPN对端的终端是不允许访问本地局域网的,您需要在“配置”->“防火墙设置”中进行策略控制(VPN对端的接口为“外网”,方向为“转发”)
  • 自动防火墙规则时,会自动在创建ipsec的wan口上允许vpn转发数据,当有多个wan口时,由于分流策略的影响,建议手动添加对应的防火墙策略。
  • 如果启用了DMZ,需要把ipsec的端口“500,4500”加到例外的端口中去。否则无法建立连接。
  • IPSec隧道的WAN口有多个静态IP时,只会在第一个静态IP上监听。

3 查看隧道状态

把鼠标移到“状态”的图标上即可查看隧道状态,点击“查看日志”的图标可以查看具体的日志信息。如图:

Faq ipsec status001.png

Faq ipsec status002.png

4 一次典型的IPSecVPN组网

假设有3个子网:

  • A为总部,公网静态IP地址,内网网段是192.168.10.0/24。
  • B为分支机构,动态公网IP,内网网段是192.168.30.0/24。
  • C为分支机构,动态公网IP,内网网段是172.16.1.0/24。

下面我们将以此为例,来演示如何使A、B、C之间互联互通。

4.1 总部A的配置

  • 创建IPSec隧道

Ipsec center01.png

Ipsec center02.png

4.2 分支B的配置

  • 创建IPSec隧道

Ipsec client01.png

4.3 分支C的配置

  • 创建IPSec隧道

Ipsec client03.png

经过上述步骤,即可使AB、AC之间互联互通。如果B和C之间也需要互通,那么在总部的ipsec“本地网络”中把B、C的网段都加上。如图:

Ipsec client04.png

5 单臂部署的IPSecVPN组网

网络结构如下图,WFilter NGF以网桥方式部署,启用IPsec隧道功能。这种VPN部署方式叫做“单臂部署”。

Passby ipsec.png

5.1 创建IPSec隧道

接口选择“bridge”(网桥),如果网桥的IP段和内网IP段不一致,请在“本地网络”中选择“自定义”。

Passby ipsec02.png

5.2 网关的端口映射配置

在网关设备上,需要把IPSec的端口(UDP 500和UDP 4500)映射到WFilter NGF的IP(网桥)。如图:

Passby ipsec03.png

5.3 网关的路由表配置

在网关设备上,需要配置路由表,把往IPSec隧道远程网络的访问的下一跳地址指向到WFilter NGF的IP(网桥)。

Passby ipsec04.png

经过以上配置,即可建议IPSec隧道。如下图:

Passby ipsec05.png

6 IPSec常见问题

6.1 IPSec VPN不能建立连接

  • 检查两边的ike版本、加密参数、网段参数、密钥是否符合。
  • 如果配置都正确,检查是否有DMZ主机或者端口映射了ipsec的端口(udp 500和udp 4500)。

6.2 IPSec VPN可以连接,但是不能互访

  • 检查两边的ip段是否重复。
  • 检查防火墙策略有没有允许“外网转发”方向。
  • 多wan口时要把ipsec的接口设置为默认网卡。

6.3 IPSec VPN可以互访,但是无法打开WSG的Web界面

  • 需要添加允许(外网入)的防火墙规则。

6.4 IPSec客户端能否处于防火墙后面

  • 完全可以。即使前端的防火墙/路由器/光猫重新获取IP,也可以保持联通状态,不需要重拨。

7 相关链接