F5000的IPsecvpn帶vpn實例不通
- 0關注
- 0收藏,148瀏覽
問題描述:
ipsec transform-set ToWX
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm md5
#
ipsec policy ToWX 10 isakmp
transform-set ToWX
security acl name IPsec_Ninbo_IPV4_1
local-address 10.153.162.174
remote-address 36.133.24.75
ike-profile ToWX
sa trigger-mode auto
#
ike invalid-spi-recovery enable
ike identity address 10.153.162.174
#
ike profile ToWX
keychain ToWX
dpd interval 30 on-demand
exchange-mode aggressive
local-identity address 10.153.162.174
match remote identity address 36.133.24.75 255.255.255.255
proposal 1
inside-vpn vpn-instance M-DMZ
match remote address 36.133.24.75
#
ike proposal 1
encryption-algorithm aes-cbc-256
dh group14
authentication-algorithm sha256
#
ike keychain ToWX vpn-instance M-DMZ
match local address 10.153.162.174 vpn-instance M-DMZ
pre-shared-key address 36.133.24.75 255.255.255.255 key simple 123455
#
acl advanced name IPsec_Ninbo_IPv4_1
rule 5 permit ip vpn-instance M-DMZ source 10.153.162.0 0.0.0.255 destination 10.234.255.149 0
rule 10 permit ip vpn-instance M-DMZ source 10.234.255.149 0 destination 10.153.162.0 0.0.0.255
#
ip vpn M-DMZ
#
interface vlan 100
ip binding vpn M-DMZ
ip add 10.153.162.174 24
ipsec apply policy ToWX
#
interface gi 1/0/1
port accsess vlan 100
#
interface gi1/0/2
ip binding vpn M-DMZ
ip add 10.123.104.2 30
ipsec apply policy ToWX
ip route-static 0.0.0.0 vpn M-DMZ 10.123.104.1
security-policy ip
rule 50 name FOR-IPSecVPN
action pass
vrf M-DMZ
source-zone local
source-zone untrust
source-zone trust
destination-zone local
destination-zone untrust
destination-zone trust
source-ip-host 10.153.162.174
source-ip-host 36.133.24.75
destination-ip-host 10.153.162.174
destination-ip-host 36.133.24.75
組網及組網描述:
防火牆F5000-M-G2設備上行1/0/2接口互聯出口防火牆,出口防火牆公網地址11.249.16.30nat映射10.153.162.174,跨越公網對端地址為36.133.24.75,防火牆為下行服務器的網關vlan100地址:10.153.162.174
現在需要防火牆F5000-M-G2設備與跨越公網設備地址36.133.24.75完成ipsec互通,現在ike協商為unknow,ping對端公網地址可通
- 2025-06-04提問
- 舉報
-
(0)
按順序排查:
1.
2.
3.
IPsec 策略引用的 ACL(如 acl 3000
4.
5.
驗證命令
- 2025-06-04回答
- 評論(0)
- 舉報
-
(0)
安全策略配置有問題,因為安全策略中的VRF是指報文進來的接口VPN實例,實際業務是內網到外網沒問題 ,但是協商不是走的內網,協商是走的local到外網,外網到local,如果你外網口沒有加VPN實例的話,那麼local相關策略都是不需要加VRF的。如果你外網口也有VPN實例,那麼本地的策略都是要加VRF的,寫外網的這個VPN實例。
同樣你的keychain是屬於本地協商的時候用的,因此keychain是寫外網口的VPN實例,不能寫內網口的。
然後你已經弄了NAT穿越了,那麼本地原地址要轉換的情況下, 不能用地址做標識,
local-identity address 10.153.162.174
這句得換成
local-identity fqdn XX
這樣的才行,對端同樣在keychain profile 中都要改成hostname或者fqdn,而且由於本地原地址轉換,對端隻能用模板的方式。
還有你的路由也不對
ip route-static 0.0.0.0 vpn M-DMZ 10.123.104.1
VPN在前麵才是寫到那個VPN實例下, 寫後麵說明要去這個VPN去找這個目的地址。比如VPN 1訪問VPN 2那麼路由應該是
ip route-static vpn 1 0.0.0.0 0 vpn 2 X.X.X.X
由於來回的VPN不一樣都是隔離的,因此本地防火牆上必須來回流量的都寫上才行。
- 2025-06-04回答
- 評論(3)
- 舉報
-
(0)
http://hclhub.h3c.com/repo/15213577083/hcl_8b126c462120
VPN隻是本地生效的,用於區分業務和管理,目前配置是管理部分,直接做全互通放通兩個地址這個策略沒問題吧?公網出去的對端地址沒有vpn
外網口如果沒有VRF的話,你這個策略上就應該不加才對。其實HCLhub上有跨VRF做IPSEC的模擬器實驗,你可以去下載一下,不行我本地昨天也做了個IPSEC NAT穿越加VRF的實驗,你如果要的話我上傳上去你可以去下載。
http://hclhub.h3c.com/repo/15213577083/hcl_8b126c462120
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明