问

MSR36-20路由器多条ipsecvpn配置问题

IPSec VPN

2019-02-26提问

0关注
1收藏，1432浏览

zhiliao_95100

zhiliao_95100 零段

粉丝：0人关注：0人

问题描述：

杭州路由器外地地址10.10.10.2 内蒙路由器外网地址11.11.11.2 锦江外网地址12.12.12.2

现有环境内蒙-锦江已建立ipsecvpn 使用正常

需求：内蒙-杭州路由器再建立一条ipsecvpn 内蒙内网192.168.95.0 杭州内网192.168.127.0

现贴出内蒙到杭州配置，求高手看看哪里有问题

内蒙端配置与杭州端配置请看附件 dis ike sa 后 ip地址都没显示。。。都未开始协商。。。

组网及组网描述：

杭州端是msr30-40 内蒙端是msr36-20

组网及组网描述：

杭州配置如下：

杭州端

interface GigabitEthernet0/1

port link-mode route

description [MSR3040-ROUTE1-G0/1<--->ISP]

nat outbound static

nat outbound address-group 1

nat outbound 3010

nat outbound 2000 address-group 1

ipsec policy v5

ike proposal 10

encryption-algorithm 3des-cbc

authentication-algorithm md5

ike peer v5

proposal 10

pre-shared-key cipher $c$3$pWHy1u0DXcvnvpktm1XaD/tbPKwwIXM+OSln

remote-address 11.11.11.2

local-address 10.10.10.2

ipsec transform-set v5

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm 3des

ipsec policy v5 1 isakmp

security acl 3000

ike-peer v5

transform-set v5

acl number 3000

rule 0 permit ip source 192.168.127.0 0.0.0.255 destination 192.168.95.0 0.0.0.255

acl number 3010

rule 0 deny ip source 192.168.127.0 0.0.0.255 destination 192.168.95.0 0.0.0.255

rule 10 permit ip

内蒙端配置如下：

内蒙端：

interface GigabitEthernet0/0

port link-mode route

combo enable copper

ip address 11.11.11.2 255.255.255.248

nat outbound 3001

nat outbound 2001 address-group 1

ipsec apply policy hangzhouidc

acl advanced 3001

rule 1 deny ip source 192.168.95.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 2 deny ip source 192.168.95.0 0.0.0.255 destination 10.1.0.0 0.0.255.255

rule 4 deny ip source 192.168.134.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 6 deny ip source 192.168.134.0 0.0.0.255 destination 10.1.0.0 0.0.255.255

rule 8 deny ip source 192.168.95.0 0.0.0.255 destination 192.168.127.0 0.0.0.255

rule 100 permit ip

acl advanced 3002

rule 0 deny tcp destination-port eq 139

acl advanced 3011

rule 0 permit ip source 192.168.95.0 0.0.0.255 destination 192.168.127.0 0.0.0.255

acl advanced 3066

rule 0 permit ip source 192.168.95.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 1 permit ip source 192.168.95.0 0.0.0.255 destination 10.1.0.0 0.0.255.255

ipsec transform-set neimeng-hangzhou

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm md5

ipsec transform-set v7

esp encryption-algorithm 3des-cbc

esp authentication-algorithm md5

ipsec policy hangzhouidc 65530 isakmp

transform-set hangzhouidc

security acl 3000

remote-address 12.12.12.2

ike-profile hangzhouidc

sa duration time-based 3600

sa duration traffic-based 1843200

ipsec policy hangzhouidc 65533 isakmp

transform-set v7

security acl 3011

remote-address 10.10.10.2

ike-profile v7

l2tp enable

ike profile hangzhouidc

keychain hangzhouidc

dpd interval 10 on-demand

exchange-mode aggressive

local-identity fqdn liansheng

match remote identity fqdn hangzhouidc

proposal 65530

ike profile v7

keychain v7

local-identity address 11.11.11.2

match remote identity address 10.10.10.2 255.255.255.255

proposal 65533

ike proposal 65530

encryption-algorithm 3des-cbc

dh group2

authentication-algorithm md5

sa duration 28800

ike proposal 65533

encryption-algorithm 3des-cbc

authentication-algorithm md5

ike keychain hangzhouidc

pre-shared-key address 12.12.12.2 255.255.255.255 key cipher $c$3$uAVYpTh7Gj

3YgOvIasg2KyrBVujP7+EDRw==

ike keychain v7

pre-shared-key address 10.10.10.2 255.255.255.255 key cipher $c$3$JygZhP8Ue3

uDGZrKNHMs4cpQ2w7ApbF8nU0a

最佳答案

风干工程师肉干要不要

风干工程师肉干要不要九段

粉丝：164人关注：7人

两边的地址对不上啊，杭州指的都是内网地址，内蒙都是公网地址，杭州指定的目的地址11.11.11.2这个地址能通吗？确定是内蒙的地址吗？

内蒙匹配杭州的地址是115.238.65.34，但是杭州指定的源地址是10.10.10.2，这个匹配不上的

中间如果有nat的话，需要在V5的ike peer下配置一条nat traversal命令来开启nat穿越模式

V7默认开启nat穿越模式

杭州：

ike peer v5

proposal 10

pre-shared-key cipher $c$3$pWHy1u0DXcvnvpktm1XaD/tbPKwwIXM+OSln

remote-address 11.11.11.2

local-address 10.10.10.2

内蒙：

ike profile v7

keychain v7

local-identity address 120.193.239.243

match remote identity address 115.238.65.34 255.255.255.255

proposal 65533

回复风干工程师肉干要不要:

nat outbound address-group 1 是其中其中一个公网地址映射了内网服务器端口的不能删除类似这样的： nat address-group 1 10.10.10.2 外网接口下 nat outbound address-group 1 nat server protocol tcp global 110.10.10.2 89 inside 192.168.127.22 89

zhiliao_95100 发表时间：2019-02-26 更多>>

领导，地址已经改好了，您再看看

zhiliao_95100 发表时间：2019-02-26

两个路由器都在最外端不需要nat穿越，谢谢领导

zhiliao_95100 发表时间：2019-02-26

兄弟，再帮看看

zhiliao_95100 发表时间：2019-02-26

回复zhiliao_95100:

V5那边接口下的nat outbound address-group 1去掉，接口处理原则上是先匹配nat的，这条没有acl限制，是可以匹配上的

风干工程师肉干要不要发表时间：2019-02-26

回复风干工程师肉干要不要:

zhiliao_95100 发表时间：2019-02-26

0 个回答

按时间按赞数

该问题暂时没有网友解答

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

MSR36-20路由器多条ipsecvpn配置问题

问题描述：

组网及组网描述：

组网及组网描述：

编辑答案

提出建议