路由器msr5620组建ipsec vpn,本地多网段和对端多网段之间需要互访。
- 0关注
- 0收藏,39浏览
问题描述:
对端在云上是深信服防火墙设备,单臂部署。对方工程师说他们没问题,华三路由器这边可能需要建立多个加密数据流?
本地网段192.168.200.0/24和192.168.25.0/24。对端10.10.200.0/24和10.10.25.0/24。
为什么在本地填写多网段,对端也填写多网段,本地只有192.168.200.0网段能访问对端10.10.200.0网段。本地192.168.25.0无法访问对端10.10.200.0和10.10.25.0,本地192.168.200.0网段也无法访问对端10.10.250网段?
组网及组网描述:
本端出口192.168.1.1,对端172.16.1.1
#
interface GigabitEthernet2/0/1
port link-mode route
description 核心业务
combo enable copper
ip address 192.168.1.1 255.255.255.0
ip last-hop hold
nat outbound 3999
nat server protocol tcp global 192.168.1.1 5000 inside 192.168.25.10 5000
ipsec apply policy map1
#
ip route-static 10.10.25.0 24 GigabitEthernet2/0/1 192.168.1.2
ip route-static 10.10.200.0 24 GigabitEthernet2/0/1 192.168.1.2
ip route-static 172.16.1.1 32 GigabitEthernet2/0/1 192.168.1.2
#
acl advanced 3001
description 云上业务
rule 0 permit ip source 192.168.25.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 1 permit ip source 192.168.25.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
rule 5 permit ip source 192.168.200.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 6 permit ip source 192.168.200.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
acl advanced 3999
description vpn排除nat
rule 15 deny ip source 192.168.25.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 16 deny ip source 192.168.25.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
rule 17 deny ip source 192.168.200.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 20 deny ip source 192.168.200.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
rule 1000 permit ip
ipsec transform-set test1
esp encryption-algorithm aes-cbc-256
esp authentication-algorithm sha256
#
ipsec policy map1 10 isakmp
transform-set test1
security acl 3001
local-address 192.168.1.1
remote-address 172.16.1.1
ike-profile profile1
#
#
ike profile profile1
keychain test1
dpd interval 30 retry 3 periodic
local-identity address 192.168.1.1
match remote identity address 172.16.1.1 255.255.255.255
proposal 10
#
ike proposal 10
encryption-algorithm aes-cbc-256
dh group14
authentication-algorithm sha256
#
ike keychain test1
pre-shared-key address 172.16.1.1 255.255.255.255 key cipher test1
#
两端都没有公网地址吗
为了去敏把公网地址改成了私网地址,不太严谨。
有网段能够互通的话主要看下对端感兴趣流和路由怎么写吧,本段看着没啥问题
我用kimi查了下,说是华三有些设备IKEV1可能不支持在一个 IKE SA 下协商多个 IPSec SA,打算换IKEV2试试了
应该都是公网地址吧,只是你换成了私网地址。
如果路由器这端是私网地址,参考手册2.19.3 IKE野蛮模式及NAT穿越配置举例
已经有一段是可以互通了的,排查一下另外一个段的路由问题,这端网关是否错误。
对端的感兴趣流是否配置正确,本端和对端的网段是否会有冲突,
是的,公网地址,去敏改成的私网地址,我感觉像是感兴趣流两端配置的问题
是的,公网地址,去敏改成的私网地址,我感觉像是感兴趣流两端配置的问题
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
我用kimi查了下,说是华三有些设备IKEV1可能不支持在一个 IKE SA 下协商多个 IPSec SA,打算换IKEV2试试了