问
ipsec的nat穿越配置
1天前提问
- 0关注
- 0收藏,94浏览
zhiliao_dhas
四段
问题描述:
哪位大神那里有路由器上配置nat穿越的案例(IPSEC场景),请大神求大神分享,按照官网的配置案例,配置完是不通的
zhiliao_Gixe
五段
第一段:基础网络连通配置
两端公网接口配置公网IP,确保公网路由互通,示例:
system-view
[H3C] interface GigabitEthernet0/0
[H3C-GigabitEthernet0/0] ip address 202.XX.XX.XX 255.255.255.0
[H3C-GigabitEthernet0/0] quit
[H3C] ip route-static 0.0.0.0 0.0.0.0 公网网关IP
第二段:IKE阶段NAT穿越核心配置
创建IKE提议、对等体,开启NAT穿越(官网案例常漏此关键配置):
[H3C] ike proposal 10
[H3C-ike-proposal-10] encryption-algorithm aes-cbc 256
[H3C-ike-proposal-10] authentication-algorithm sha2-256
[H3C-ike-proposal-10] quit
[H3C] ike peer IPSEC_PEER
[H3C-ike-peer-IPSEC_PEER] pre-shared-key simple 123456
[H3C-ike-peer-IPSEC_PEER] nat traversal enable // 开启NAT穿越
[H3C-ike-peer-IPSEC_PEER] ike-proposal 10
[H3C-ike-peer-IPSEC_PEER] quit
第三段:IPsec安全策略配置
定义感兴趣流、安全提议,应用策略到公网接口:
[H3C] ipsec proposal 10
[H3C-ipsec-proposal-10] esp encryption-algorithm aes-cbc 256
[H3C-ipsec-proposal-10] esp authentication-algorithm sha2-256
[H3C-ipsec-proposal-10] quit
[H3C] acl number 3000
[H3C-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 // 两端私网互访流量
[H3C-acl-adv-3000] quit
[H3C] ipsec policy IPSEC_POLICY 10
[H3C-ipsec-policy-10] security a
两端公网接口配置公网IP,确保公网路由互通,示例:
[H3C] interface GigabitEthernet0/0
[H3C-GigabitEthernet0/0] ip address 202.XX.XX.XX 255.255.255.0
[H3C-GigabitEthernet0/0] quit
[H3C] ip route-static 0.0.0.0 0.0.0.0 公网网关IP
第二段:IKE阶段NAT穿越核心配置
创建IKE提议、对等体,开启NAT穿越(官网案例常漏此关键配置):
[H3C] ike proposal 10
[H3C-ike-proposal-10] encryption-algorithm aes-cbc 256
[H3C-ike-proposal-10] authentication-algorithm sha2-256
[H3C-ike-proposal-10] quit
[H3C] ike peer IPSEC_PEER
[H3C-ike-peer-IPSEC_PEER] pre-shared-key simple 123456
[H3C-ike-peer-IPSEC_PEER] nat traversal enable // 开启NAT穿越
[H3C-ike-peer-IPSEC_PEER] ike-proposal 10
[H3C-ike-peer-IPSEC_PEER] quit
第三段:IPsec安全策略配置
定义感兴趣流、安全提议,应用策略到公网接口:
[H3C] ipsec proposal 10
[H3C-ipsec-proposal-10] esp encryption-algorithm aes-cbc 256
[H3C-ipsec-proposal-10] esp authentication-algorithm sha2-256
[H3C-ipsec-proposal-10] quit
[H3C] acl number 3000
[H3C-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 // 两端私网互访流量
[H3C-acl-adv-3000] quit
[H3C] ipsec policy IPSEC_POLICY 10
[H3C-ipsec-policy-10] security a
暂无评论
一、典型场景(你大概率是这种)
- 总部:MSR3610,公网固定 IP:
202.1.1.1,内网:192.168.10.0/24 - 分支:MSR2600,内网 PPPoE 拨号 / 家用路由器 NAT 后上网(私网 IP,需要 NAT-T),内网:
192.168.20.0/24 - 关键点:分支在 NAT 后面 → 必须开启 NAT-T、用野蛮模式、NAT 豁免、路由指向隧道
二、必懂的 4 个 “官网常漏” 关键点
- NAT-T 必须全局开启:
ike nat-traversal(默认关闭) - IKE 用野蛮模式(Aggressive):NAT 后设备无固定 IP,主模式连不上
- NAT 豁免(核心!):IPSec 感兴趣流不能做 NAT,否则加密后又被 NAT 篡改,校验失败
- 路由必须指向隧道:两端内网路由下一跳为对端公网 IP,不能走默认路由
三、总部配置(MSR3610,公网固定 IP)
1. 接口与基础 IP
bash
运行
system-view
# 内网口
interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0
# 公网口
interface GigabitEthernet0/1
ip address 202.1.1.1 255.255.255.0
2. 配置 NAT(内网上网)+ NAT 豁免(关键)
bash
运行
# 1) 感兴趣流ACL(IPSec保护的流量)
acl advanced 3001
rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
# 2) NAT豁免ACL(拒绝IPSec流量做NAT)
acl advanced 3000
rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule permit ip source 192.168.10.0 0.0.0.255
# 3) 公网口应用NAT
interface GigabitEthernet0/1
nat outbound 3000
3. IKE 配置(野蛮模式 + NAT-T)
bash
运行
# 全局开启NAT穿越(默认关闭!)
ike nat-traversal
# IKE提议(两端一致)
ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha1
dh group14
# IKE profile(野蛮模式,匹配分支ID)
ike profile ToBranch
proposal 10
pre-shared-key simple 123456 # 两端密钥一致
aggressive-mode # 野蛮模式(NAT后必须)
match remote identity name branch # 对端ID(分支配置的name)
# 分支公网IP(或0.0.0.0动态)
ike peer Branch
pre-shared-key simple 123456
proposal 10
profile ToBranch
remote-address 0.0.0.0 # 分支动态IP用这个
4. IPSec 策略
bash
运行
# IPSec变换集(ESP,不支持AH)
ipsec transform-set 10
esp encryption-algorithm aes-256
esp authentication-algorithm sha1
# IPSec策略(绑定ACL+IKE)
ipsec policy Map1 10 isakmp
transform-set 10
ike-peer Branch
match address 3001 # 感兴趣流
# 公网口应用IPSec策略
interface GigabitEthernet0/1
ipsec policy Map1
5. 静态路由(指向分支内网)
bash
运行
ip route-static 192.168.20.0 255.255.255.0 202.2.2.2 # 分支公网IP
四、分支配置(MSR2600,NAT 后上网)
1. 接口与基础 IP
bash
运行
system-view
# 内网口
interface GigabitEthernet0/0
ip address 192.168.20.1 255.255.255.0
# 公网口(PPPoE拨号,或DHCP)
interface GigabitEthernet0/1
pppoe-client dial-bundle-number 1
# 默认路由走拨号
ip route-static 0.0.0.0 0 Dialer 1
2. NAT 豁免(同总部逻辑)
bash
运行
# 感兴趣流ACL
acl advanced 3001
rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
# NAT豁免ACL
acl advanced 3000
rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule permit ip source 192.168.20.0 0.0.0.255
# 公网口应用NAT
interface GigabitEthernet0/1
nat outbound 3000
3. IKE 配置(野蛮模式 + NAT-T)
bash
运行
ike nat-traversal # 全局开启NAT-T
ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha1
dh group14
# 分支IKE profile(配置本地ID=branch)
ike profile ToHQ
proposal 10
pre-shared-key simple 123456
aggressive-mode
local-identity name branch # 本地ID,总部match这个
# IKE peer指向总部公网IP
ike peer HQ
pre-shared-key simple 123456
proposal 10
profile ToHQ
remote-address 202.1.1.1 # 总部固定IP
4. IPSec 策略
bash
运行
ipsec transform-set 10
esp encryption-algorithm aes-256
esp authentication-algorithm sha1
ipsec policy Map1 10 isakmp
transform-set 10
ike-peer HQ
match address 3001
interface GigabitEthernet0/1
ipsec policy Map1
5. 静态路由(指向总部内网)
bash
运行
ip route-static 192.168.10.0 255.255.255.0 202.1.1.1
五、为什么你按官网配不通?(90% 是这 3 个坑)
- 没开 NAT-T:
ike nat-traversal全局命令,官网常省略,NAT 后必开 - 主模式(Main Mode):NAT 后设备无固定 IP,主模式协商失败,必须用野蛮模式
- 没做 NAT 豁免:感兴趣流被 NAT 篡改,ESP 校验失败,隧道能建但不通流量
六、一键排障命令(两边都敲)
bash
运行
# 看IKE/IPSec SA
display ike sa
display ipsec sa
# 看NAT转换(确认感兴趣流没被NAT)
display nat session table
# 看路由
display ip routing-table
# debug(开了后看报错)
debugging ike all
debugging ipsec all
terminal debugging
七、关键总结
- NAT-T:全局开启
ike nat-traversal - 模式:NAT 后用野蛮模式,配置
local-identity name - NAT:必须豁免IPSec 感兴趣流,否则加密 + NAT 双重修改
- 路由:内网路由指向对端公网 IP
把上面配置替换成你的网段 / 密钥 / IP,99% 能通。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论