F5000的IPsecvpn带vpn实例不通
- 0关注
- 0收藏,399浏览
问题描述:
ipsec transform-set ToWX
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm md5
#
ipsec policy ToWX 10 isakmp
transform-set ToWX
security acl name IPsec_Ninbo_IPV4_1
local-address 10.153.162.174
remote-address 36.133.24.75
ike-profile ToWX
sa trigger-mode auto
#
ike invalid-spi-recovery enable
ike identity address 10.153.162.174
#
ike profile ToWX
keychain ToWX
dpd interval 30 on-demand
exchange-mode aggressive
local-identity address 10.153.162.174
match remote identity address 36.133.24.75 255.255.255.255
proposal 1
inside-vpn vpn-instance M-DMZ
match remote address 36.133.24.75
#
ike proposal 1
encryption-algorithm aes-cbc-256
dh group14
authentication-algorithm sha256
#
ike keychain ToWX vpn-instance M-DMZ
match local address 10.153.162.174 vpn-instance M-DMZ
pre-shared-key address 36.133.24.75 255.255.255.255 key simple 123455
#
acl advanced name IPsec_Ninbo_IPv4_1
rule 5 permit ip vpn-instance M-DMZ source 10.153.162.0 0.0.0.255 destination 10.234.255.149 0
rule 10 permit ip vpn-instance M-DMZ source 10.234.255.149 0 destination 10.153.162.0 0.0.0.255
#
ip vpn M-DMZ
#
interface vlan 100
ip binding vpn M-DMZ
ip add 10.153.162.174 24
ipsec apply policy ToWX
#
interface gi 1/0/1
port accsess vlan 100
#
interface gi1/0/2
ip binding vpn M-DMZ
ip add 10.123.104.2 30
ipsec apply policy ToWX
ip route-static 0.0.0.0 vpn M-DMZ 10.123.104.1
security-policy ip
rule 50 name FOR-IPSecVPN
action pass
vrf M-DMZ
source-zone local
source-zone untrust
source-zone trust
destination-zone local
destination-zone untrust
destination-zone trust
source-ip-host 10.153.162.174
source-ip-host 36.133.24.75
destination-ip-host 10.153.162.174
destination-ip-host 36.133.24.75
组网及组网描述:
防火墙F5000-M-G2设备上行1/0/2接口互联出口防火墙,出口防火墙公网地址11.249.16.30nat映射10.153.162.174,跨越公网对端地址为36.133.24.75,防火墙为下行服务器的网关vlan100地址:10.153.162.174
现在需要防火墙F5000-M-G2设备与跨越公网设备地址36.133.24.75完成ipsec互通,现在ike协商为unknow,ping对端公网地址可通
- 2025-06-04提问
- 举报
-
(0)
最佳答案
按顺序排查:
1.
2.
3.
IPsec 策略引用的 ACL(如 acl 3000
4.
5.
验证命令
- 2025-06-04回答
- 评论(0)
- 举报
-
(0)
安全策略配置有问题,因为安全策略中的VRF是指报文进来的接口VPN实例,实际业务是内网到外网没问题 ,但是协商不是走的内网,协商是走的local到外网,外网到local,如果你外网口没有加VPN实例的话,那么local相关策略都是不需要加VRF的。如果你外网口也有VPN实例,那么本地的策略都是要加VRF的,写外网的这个VPN实例。
同样你的keychain是属于本地协商的时候用的,因此keychain是写外网口的VPN实例,不能写内网口的。
然后你已经弄了NAT穿越了,那么本地原地址要转换的情况下, 不能用地址做标识,
local-identity address 10.153.162.174
这句得换成
local-identity fqdn XX
这样的才行,对端同样在keychain profile 中都要改成hostname或者fqdn,而且由于本地原地址转换,对端只能用模板的方式。
还有你的路由也不对
ip route-static 0.0.0.0 vpn M-DMZ 10.123.104.1
VPN在前面才是写到那个VPN实例下, 写后面说明要去这个VPN去找这个目的地址。比如VPN 1访问VPN 2那么路由应该是
ip route-static vpn 1 0.0.0.0 0 vpn 2 X.X.X.X
由于来回的VPN不一样都是隔离的,因此本地防火墙上必须来回流量的都写上才行。
- 2025-06-04回答
- 评论(3)
- 举报
-
(0)
http://hclhub.h3c.com/repo/15213577083/hcl_8b126c462120
VPN只是本地生效的,用于区分业务和管理,目前配置是管理部分,直接做全互通放通两个地址这个策略没问题吧?公网出去的对端地址没有vpn
外网口如果没有VRF的话,你这个策略上就应该不加才对。其实HCLhub上有跨VRF做IPSEC的模拟器实验,你可以去下载一下,不行我本地昨天也做了个IPSEC NAT穿越加VRF的实验,你如果要的话我上传上去你可以去下载。
http://hclhub.h3c.com/repo/15213577083/hcl_8b126c462120
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明