【实战中提升自己】 防火墙篇之VPX部署–L2TP over IPSEC
1 VPx部署【L2TP Over ipsec】
说明:在VPX上面,我们希望与分部建立VPX,保证与分部的财务部正常通信,另外还提供L2TP Over ISPEC功能,方便远程接入访问内部服务器等。当然我们也可以做详细的控制,根据需求而定。
「模拟器、工具合集」复制整段内容
链接:https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil2 部署L2TP over ipsec功能
(1)定义用户名与密码[USG-GW]aaa[USG-GW-aaa]local-user ccieh3c password cipher ccieh3c[USG-GW-aaa]local-user ccieh3c service-type ppp说明:定义了一个用户名与密码。(2)定义地址池[USG-GW-aaa]ip pool 1 192.168.24.2 192.168.24.254说明:防火墙的地址池在AAA下定义的,定义了一个网段为192.168.24.0(3)定义虚拟模板[USG-GW]interface Virtual-Template 1[USG-GW-Virtual-Template1]ip address 192.168.24.1 24[USG-GW-Virtual-Template1]ppp authentication-mode chap[USG-GW-Virtual-Template1]remote address pool 1说明:这里定义了 一个地址,然后定义认证方式与调用地址池。(4) 开启L2TP功能[USG-GW]l2tp enable[USG-GW]l2tp-group 1[USG-GW-l2tp1]allow l2tp virtual-template 1[USG-GW-l2tp1]undo tunnel authentication说明:该功能开启了L2TP功能,并且调用了虚拟模板,不过注意的是一定要关闭隧道认证,因为那是给硬件客户端用的。(5)IKE定义[USG-GW]ike proposal 10[USG-GW-ike-proposal-10]encryption-algorithm 3des-cbc[USG-GW-ike-proposal-10]dh group2[USG-GW]ike peer l2tp[USG-GW-ike-peer-l2tp]pre-shared-key ccieh3c.taobao.com[USG-GW-ike-peer-l2tp]ike-proposal 10[USG-GW-ike-peer-l2tp]undo version 2说明:定义了一个IKE的策略,不使用默认的,这样无论是移动客户端还是PC都可以拨入,然后定义了一个对等体,定义了 预共享密钥,关联Proposal,注意关闭V2,L2TP要用V1搞定。
(6)IPSEC定义[USG-GW]ipsec proposal l2tp[USG-GW-ipsec-proposal-l2tp]encapsulation-mode transport[USG-GW-ipsec-proposal-l2tp]esp authentication-algorithm sha1[USG-GW-ipsec-proposal-l2tp]esp encryption-algorithm 3de说明:定义了一个IPSEC策略,并且定义一个模式必须为transport,然后策略建议是3DES与SHA1,方便主流的操作系统协商。(7)ACL定义【必须匹配】[USG-GW] acl 3003[USG-GW-acl-adv-3003]rule permit udp source-port eq 1701说明:IPSEC下面必须用ACL配置。匹配的是L2TP的端口号(8)定义动态策略 ISPEC模板[USG-GW]ipsec policy-template l2tp 1000[USG-GW-ipsec-policy-template-l2tp-1000]security acl 3003[USG-GW-ipsec-policy-template-l2tp-1000]ike-peer l2tp[USG-GW-ipsec-policy-template-l2tp-1000]proposal l2tp说明:定义一个动态策略IPSEC模板,因为L2TP的拨入是提供给任何人拨入的,所以不知道具体地址,必须用动态来配置。(9)定义静态策略模板关联动态,调用在接口[USG-GW]ipsec policy vpx_1 1000 isakmp template l2tp[USG-GW]ipsec policy vpx_2 1000 isakmp template l2tp说明:必须关联2个ipsec policy,。[USG-GW]int g0/0/1[USG-GW-GigabitEthernet0/0/1]ipsec policy vpx_1[USG-GW-GigabitEthernet0/0/1]int g0/0/2[USG-GW-GigabitEthernet0/0/2]ipsec policy vpx_2说明:在接口调用,因为一个接口只能调用一个IPSEC 策略,所以这里定义了2个。(10)创建Zone,关联虚拟接口[USG-GW]firewall zone name l2tp[USG-GW-zone-l2tp]set priority 30[USG-GW-zone-l2tp]add interface Virtual-Template 1(11)放行内网到VPx,VPx到内网的流量[USG-GW]firewall packet-filter default permit interzone trust l2tp说明:这里建议单独用一个Zone关联虚拟VPx接口,然后呢,双向放行该Zone的策略,这样的话,不会影响其他流量。(12)VPx需要放行的流量[USG-GW]policy interzone isp_dx local inbound[USG-GW-policy-interzone-local-isp_dx-inbound]policy 0[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy service service-set udp esp l2tp[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy destination 202.100.1.2 0[USG-GW-policy-interzone-local-isp_dx-inbound-0]action permit[USG-GW]policy interzone isp_lt local inbound[USG-GW-policy-interzone-local-isp_lt-inbound]policy 0[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy service service-set udp esp l2tp[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 61.128.1.2 0[USG-GW-policy-interzone-local-isp_lt-inbound-0]action permit说明:放行isp_dx 、isp_lt到Local的流量,包括ESP UDP L2TP流量,因为L2TP与IPSEC都需要经过这些流量,默认防火墙是不处理的,所以需要放行,目的地址为自身的接口地址。当然UDP可以明确指定为500。
3 测试拨号【PC客户端与移动客户端】
已经连接上去了。
2、查看获取的IP地址
3、访问内部服务器测试
能访问到服务器。
可以看到可以访问对应的服务器。
4、访问外网
5、外网访问不了的解决办法
可以看到路由表,所有的流量都是发送给192.168.24.2,VPx的流量都走防火墙了,这样造成VPx的流量与访问公网的流量都走公网了。
4 解决办法1、只让VPx的流量走VPx,其余走公网
去掉这个沟。
Ping 114.114.114.114没有任何问题。
但是访问内网。
5 解决办法2、直接通过防火墙上网
部署NAT策略断开VPx连接,添加默认网关[USG-GW]policy interzone l2tp isp_dx outbound[USG-GW-policy-interzone-l2tp-isp_dx-outbound]policy 0[USG-GW-policy-interzone-l2tp-isp_dx-outbound-0]action permit[USG-GW]nat-policy interzone l2tp isp_dx outbound[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound]policy 0[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]policy source 192.168.24.0 mask 24[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]action source-nat[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]easy-ip g0/0/1说明:这里放行哪个了L2TP访问外网的流量,并且做了一个源NAT转换。
可以看到都可以访问了。
6 联通端的配置
[USG-GW]policy interzone l2tp isp_lt outbound[USG-GW-policy-interzone-l2tp-isp_lt-outbound]policy 0[USG-GW-policy-interzone-l2tp-isp_lt-outbound-0]action permit[USG-GW]nat-policy interzone l2tp isp_lt outbound[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound]policy 0[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]policy source 192.168.24.0 mask 24[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]action source-nat[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]easy-ip g0/0/2说明:最终联通也可以访问的,这里不测试了。
7 移动端测试【Android配置】
由于手头只有Android版本的,基于4.2的,iPhone系统设置也差不多
设置———-更多———-VPx——-创建一个L2TPover ipsec的———–密钥填写
由于不好截图,所以不能上图了,测试是没任何问题的。(写的时候的安卓版本才4.0,截图功能很烂)
8 命令查看【虚拟接口】
9 扩展:关于SSLVPx说明
不管是USG还是下一代USG,SSLVPx的支持,特别是下一代USG支持的更好,默认授权就100个,而且能自由控制哪些流量走VPx,哪些正常走上网的,后续我们会推出SSL系列的。