【SSLVPN产品】【IPSEC-VPN】穿越NAT场景点对点IPSEC配置指导

李昕瑞发表于:2021年04月02日 17:44:37

1    简介

         本文档介绍SSL VPN设备与奇安信智慧防火墙设备,通过互联网建立点对点IPSEC隧道功能的配置举例。

         IPsec(IP Security)是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量、基于密码学的安全保证,是一种实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。

         穿越NAT场景,穿越NAT场景是指SSLVPN设备不是局域网出口设备,SSLVPN设备在局域网内部,与需要建立IPSEC隧道设备之间进行了源地址NAT转换。

2    配置前提

         本文档适用于SSL VPN设备,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

         本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

         本文档假设您已对IPSEC功能有基础了解,对SSLVPN设备、奇安信智慧防火墙设备有基础配置能力。

3    配置举例

3.1    组网需求

         如下图所示,奇安信智慧防火墙作为局域网出口设备连接到互联网,SSLVPN设备接入到局域网内部,通过出口防火墙链接到互联网。

         奇安信智慧防火墙出口地址:10.44.145.225,SSLVPN设备所在局域网出口地址:10.44.145.222,智慧防火墙内网地址段:172.16.88.254/24,SSLVPN设备内网地址段:172.16.66.254/24,需要IPSEC隧道保护的感兴趣流:172.16.88.254/24<----->172.16.66.254/24。     blob.png                     

3.2    配置思路

1)   完成基础网络环境配置,完成设备接口地址、路由相关配置。

2)   出口防火墙配置DNAT映射,将互联网出口地址:10.44.145.222,UDP500/4500端口映射到SSLVPN地址:192.168.25.2,UDP500/4500端口。

3)   智慧防火墙和 SSL VPN设备进行ipsec vpn配置,由于SSLVPN设备只支持IKEV1,不支持IKEV2版本,所以只能使用IKEV1。

4)   穿越NAT场景下,IKE只能使用野蛮模式,IPSEC只能使用ESP协议,ID标识推荐使用FQDN。

5)   智慧防火墙安全策略、NAT策略配置。

6)   配置完成,进行后续功能验证。

3.3    使用版本

         本举例SSLVPN版本为:6.2.150.x。智慧防火墙版本为:6.1.13.95963,基于以上版本进行配置和验证。

3.4    配置步骤

步骤一:SSLVPN和智慧防火墙设备基础网络环境配置,接口地址和基础路由配置;

Ø  SSLVPN端配置

1)   SSLVPN设备配置,配置设备接口地址和路由,本环境SSLVPN未安装接口卡,使用MGT口作为上联接口,HA口作为下联接口;

【系统配置】-【网络配置】-【网络接口】

blob.png

blob.png

【系统配置】-【网络配置】-【网络路由】

blob.png

 

Ø  智慧防火墙

2)   智慧防火墙配置,配置设备接口地址和路由,本环境GE1接口为出口,GE2接口为内网口,GE1出口untrust区域,GE2内网口trust区域;

【网络配置】-【接口】

blob.png


blob.png

【网络配置】-【路由】-【静态路由】

blob.png

blob.png

步骤二:SSLVPN、智慧防火墙设备,IPSEC功能配置,采用IKEV1协商IPSEC隧道,穿越NAT场景,需要IKE野蛮模式,IKE使用PSK动态口令验证。IPSEC使用隧道模式,使用ESP协议进行数据加密和校验,必须开启NAT穿越功能;

Ø  SSLVPN端配置

1)   SSLVPN设备IPSEC VPN配置,配置第一阶段IKE配置,【IPSEC-VPN】-【IKE VPN】添加IKE策略第一阶段配置。

blob.png

    配置第二阶段IPSEC配置,【IPSEC-VPN】-【IKE VPN】,添加第二阶段IPSEC提议。

l  完美向前保护:PFS,是密码学中通讯协议的安全属性,指的是长期使用的主密钥泄漏不会导致过去的会话密钥泄漏

blob.png

    IPSEC策略配置,引用第一阶段第二阶段的提议,进行VPN隧道配置

【IPSEC-VPN】-【IKE VPN】

l  交换模式:野蛮模式

l  封装协议:ESP

l  封装方式:隧道

 blob.png

blob.png



*  说明

DPD:(Dead Peer Detection,对等体存活检测)用于检测对端是否存活。本端主动向对端发送DPD请求报文,确认对端是否存活进行检测。如果本端在DPD报文的重传时间间隔(retry seconds)内未收到对端发送的DPD回应报文,则重传DPD请求报文,若重传两次之后仍然没有收到对端的DPD回应报文,则删除该IKE SA和对应的IPsec SA。

2)   SSLVPN开启IPSEC功能,【IPSEC-VPN】-【基本配置】,开启保存。

blob.png

3)   SSLVPN防火墙模块,【防火墙】-【基本配置】,开启防火墙功能,默认规则配置成允许包。如不开启将无法使用ipsecvpn功能。

blob.png

Ø  智慧防火墙

1)   智慧防火墙配置IKE提议,【网络配置】-【VPN】-【IPSEC自动隧道】-【IKE提议】,新建IKE提议,保持与SSLVPN设备第一阶段配置一致。

blob.png

智慧防火墙配置IPSEC提议和IPSEC IKE网关,【网络配置】-【VPN】-【IPSEC自动隧道】,创建IPSEC提议,保持与SSLVPN第二阶段配置一致。创建IKE网关,按照截图的方式配置,保持与SSLVPN配置一致。

blob.png

blob.png

blob.png

智慧防火墙配置IPSEC隧道,【网络配置】-【VPN】-【IPSEC自动隧道】,新建IPSEC隧道,勾选IKE网关和IPSEC提议,配置感兴趣流。

blob.png

blob.png

步骤三:SSLVPN侧的出口防火墙,出口防火墙基础安全策略,NAT上网策略按照常规出口防火墙部署配置即可,基础配置不赘述,介绍两点关键配置;

1)   出口防火墙关键配置1:源地址NAT策略,需要勾选实际出接口,不能是any接口。

blob.png

2)   出口防火墙关键配置2:增加DNAT策略配置。

blob.png

步骤四:智慧防火墙,配置安全策略,配置NAT上网策略。

1)   智慧防火墙,配置安全策略,新建三个地址段,【对象配置】-【地址】,新建三个地址段。

blob.png

增加三条安全策略;“IPSEC隧道出方向策略”,优先级最高,匹配IPSEC保护的感兴流,将流量引导入安全连接隧道。

blob.png

blob.png

blob.png

“IPSEC隧道入方向策略”,匹配放通入方向的感兴趣流。

blob.png

blob.png

“出方向安全策略”,防火墙基础安全策略,放通内网访问外网。

blob.png

blob.png

     智慧防火墙配置上网策略,【策略配置】-【NAT策略】-【源NAT】,新建两条NAT策略,第一条NAT策略“IPSEC流量不转换策略”,匹配感兴趣流,不进行NAT地址转换。第二条NAT策略“上网策略”,内网常规上网策略。

blob.png


步骤五:到此IPSEC及其相关配置完毕,开始后续功能验证环节。

4    验证配置

1)   SSLVPN页面,【系统设置】-【系统维护】-【系统诊断】,使用ping功能,触发感兴趣流,两端设备开始建立IPSEC隧道。

blob.png

blob.png

*  说明:

SSLVPN上ping测试,必须要带源地址进行测试,如果没有匹配上感兴趣流,业务无法ping通,必须要使用感兴趣流的源目地址进行触发。第一次触发IPSEC建立会有丢包,建立成功以后流量测试正常。

 

查看SSLVPN上建立隧道的日志和隧道状态。

日志:【日志与监控】-【日志查询】-【IKE协商日志】

blob.png

隧道状态:【IPSEC-VPN】-【隧道监控】,established建立成功的标识。

blob.png

 

2)   智慧防火墙,【数据中心】-【监控】-【隧道监控】,隧道试图和IKE试图可以查看到建立的隧道连接。

blob.png

blob.png

 

 

5    注意事项

1)   SSLVPN设备只支持IKEV1版本,不支持IKEV2。

2)   SSLVPN设备使用IPSEC功能,防火墙模块必须要开启,规则是允许包状态,否则会出现隧道建立成功,业务无法访问的问题。

3)   穿越NAT场景,IKE交换模式只能使用野蛮模式,IPSEC封装协议只能使用ESP协议。

4)   配置智慧防火墙需要注意,感兴趣流所在的安全策略优先级需要时最高优先级。上网NAT策略需要排除掉感兴趣流的流量。

5)   ID标识类型推荐使用FQDN方式标识,也可以使用IP标识,但是使用IP标识需要注意,SSLVPN侧的IP标识需要配置成出口防火墙的出口地址,本案例中SSLVPN本地的IP标识为:10.44.145.222。