全站搜索 网吧特权 游戏预警 APP下载 开网吧 开网咖 开电竞酒店 网吧转让 网吧供求 关注公众号 网吧联盟论坛
 天下网吧 >> 网吧路由 >> 网吧路由经验 >> 正文

VPN配置

2013-11-5东莞网盟佚名

site to site ipsec vpn

如有以下两网络需用vpn互联,
10.10.0.0/16—ros_a—61.132.118.68———internet——-61.177.7.1—ROS_b—192.168.0.1/24
ROS_a:
ip ipsec peer add address=61.177.7.1 secret=123

ip ipsec policy add src-address=10.10.0.0/16 dst-address=192.168.0.0/24 sa-src-address=61.132.118.68 sa-dst-address=61.177.7.1


ROS_b:
ip ipsec peer add address=61.132.118.68 secret=123

ip ipsec policy add src-address=192.168.0.0/24 dst-address=10.10.0.0/16 sa-src-address=61.177.7.1 sa-dst-address=61.132.118.68
(注意为了方便这里对ipsec 相应一系列协议都使用了默认,但两边一定要一样,具体在ip ipsec 的policies peers proposals中设置。)
这样你就会在两端在log和ipsec installed sas和remote peer中看到已联上的相关信息,但发现还不能互访对方端域网。

这是由于两边内网做到对端内网的访问时如10.10.10.10对192.168.0.4访问,当数据包到ros_a时面临几个选择,一是直接路由,二是使用默认路由,由于这个目地址不是ROS_a不是直接相联的网络,一定是走的默认路由即对外网的访问,由于我们设对外网访问一定用nat或masquerade,两且做这个时为了方便一般是在ip firewall中做如下策略0.0.0.0/0或内网段到0.0.0.0/0 action masquerade或nat,这就出问题了,因为路由器对数据是否走ipsec是在之后做出决定的,现在这个数据包到路由器发现源地址目地址匹配ip firewall中的action masquerade或nat的相关源地址目地址,于是这个数据包先被action 了masquerade或nat,于是源地址发生改变,不匹配ip ipsec policy中的源地址目地址,所以不再会用ipsec封装而远入ipsec tunel,而是被默认路由路由到internat 去了,这样去192.168.0.4当然不会到达了。
说了这么罗嗦,其实解决很简单,就是不要让本内网到彼内网的数据包做nat/masquerade以至改变了源地址,那就是让这种要走ipsec tunel的包不要nat/masquerade,即在ip firewall policy的/masquerade策略前加一个相应数据流的accept,如在ros_a加ip ipsec policy add src-address=10.10.0.0/16 dst-address=192.168.0.0/24 action=accept。ROS_b加ip ipsec policy add src-address=192.168.0.0/24 dst-address=10.10.0.0/16 action=accept。
今天做了一个RouteROS和Cisco路由器IPSec VPN互连的实验,拓扑结构如下:
10.1.1.0/24----RouteROS--192.168.1.18/24<------------->192.168.1.28/24--Cisco1721---10.1.2.0/24

RouteROS通过Ethernet1连接Cisco1721的快速以太网接口,Cisco1721的10M以太网接口作为本地网络接口(模拟内网)。

Cisco 1721的详细配置:
====================================
Cisco1721#sh run
Building configuration...

Current configuration : 1482 bytes
!
! Last configuration change at 17:39:11 Bejing Thu Sep 30 2004
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco1721
!
logging buffered 51200 warnings
enable secret 5 **************
!
username sdm privilege 15 password 0 sdm
clock timezone Bejing 8
ip subnet-zero
!
!
ip telnet source-interface Ethernet0
ip domain name yourdomain.com
!
ip audit notify log
ip audit po max-EVEnts 100
no ftp-server write-enable
!
crypto isakmp policy 5
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address 192.168.1.18
!
crypto ipsec transform-set myset esp-des esp-sha-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 192.168.1.18
set transform-set myset
set pfs group2
match address 101
!
!
!
interface Ethernet0
ip address 10.1.2.1 255.255.255.0
half-duplex
no keepalive
!
interface FastEthernet0
ip address 192.168.1.28 255.255.255.0
speed auto
crypto map mymap
!
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0
ip http server
ip http authentication local
ip http secure-server
!
!
access-list 101 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
!
line con 0
line aux 0
line vty 0 4
privilege lEVEl 15
login local
transport input telnet ssh
line vty 5 15
privilege lEVEl 15
login local
transport input telnet ssh
!
!
end

RouteROS的大致配置过程:
================================
RouteROS是在Vmware中进行测试了,虚拟了两个接口Ether1和Ethernet2, Ether1 的ip地址为192.168.1.18/24, Ether2的ip地址为10.1.1.1/24。

IPSec部分的配置命令为:
1)设置IKE Phase1的具体参数:
/ip ipsec peer add address=192.168.1.28 secret="cisco123" enc-algorithm=des

2)设置IKE Phase2的具体参数:
主要设置包括加密传输的算法和认证方式,缺省的auth-algorithm是sha1
/ip ipsec proposal set default enc-alogrithms=des

3)详细设置需要加密的数据流及IPSecVPN的方式:Tunnel/Transport Mode等
/ip ipsec policy add src-address=10.1.1.0/24 dst-address=10.1.2.0/24 action=encrypt tunnel=yes sa-src=192.168.1.18 sa-dst=192.168.1.28

另外,如果为了采用更强的加密方式3DES, 修改两者的IKE Phase1和Phase2的参数就可以了,但一定要匹配,才能保证IKE SA和IPSec SA的成功建立。

本文来源:东莞网盟 作者:佚名

相关文章
wayos的uPnp怎么设置?wayos开启upnp教程  wayos路由OVPN借线上网的操作步骤  腾达路由无线网络UPnP功能介绍
路由器连接上网VPN806错误的解决方法  wayos路由连接VPN时出现错误800怎么办?  WayOS路由VPN设置L2TP连接实例解说
wayos路由VPN用户账户建立的方法  海蜘蛛路由UPnP服务启动的操作方法  wayos路由器VPN客户端账号建立操作步骤
wayos路由VPN服务端基本参数设置方法  
聚合推荐
 飞鱼星   文网卫士   网吧路由视频教程   WayOS   Ros
声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下

推荐文章

维盟网吧交换机端口隔离功能设置图文教程
网吧路由一直是网吧最重要的网吧网络设备之一了,在这里网吧路由的品牌比较知名的就是维盟了,目前来自天下网吧的一个老司机分……
专业的网吧路由和普通家庭路由的区别
专业的网吧路由跟普通的路由到底有什么区别?普通的家庭路由可以用在网吧吗?很多网吧新手对这个问题会好奇。不少新手网吧维护……

最新文章

IBR-8200全千兆多WAN智能网吧路由器产品介绍
简介: IBR-8200是一款专为中型网吧倾力打造的全千兆多WAN智能路由器。IBR-8200采用19寸标准1U铝合金……
100台以下网吧、电竞酒店2.5G解决方案,交换机和网络拓扑图
本方案适合100台以下的网咖、电竞酒店使用,方案来自WayOS网吧网络设备提供商。天下网吧技术组研判次方案比较合理。下面
  • 本周热门
  • 本月热门
  • 阅读排行

天下网吧、网吧天下 - 爱网吧、爱网咖,爱这里。人人为我我为人人!

Copyright ©TXWB.com, All Rights Reserved.

天下网吧版权所有
ICP备案号:渝ICP备20008032号-2 网上有害信息举报专区 闽公网安备35010202000238号