【SSLVPN产品】【IPSEC-VPN】穿越NAT场景多分支对总部IPSEC配置指导

李昕瑞发表于:2021年04月02日 17:57:17

1    简介SSLVPN产品-IPSEC配置-穿越NAT场景多分支对总部IPSEC配置指导

         本文档介绍SSL VPN设备与奇安信智慧防火墙设备,通过互联网建立点对点IPSEC隧道功能的配置举例。

         IPsec(IP Security)是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量、基于密码学的安全保证,是一种实现三层VPN(Virtual Private Network,虚拟专用网络)的安全技术。

         穿越NAT场景,穿越NAT场景是指SSLVPN设备不是局域网出口设备,SSLVPN设备在局域网内部,与需要建立IPSEC隧道设备之间进行了源地址NAT转换。

         IPSEC多分支场景,多分支场景下,分支必须要指定总部IPSEC网关地址,隧道建立发起方必须是分支触发,总部只需要配置一套通用IPSEC策略模板对接。

2    配置前提

         本文档适用于SSL VPN设备,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

         本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

         本文档假设您已对IPSEC功能有基础了解,对SSLVPN设备、奇安信智慧防火墙设备有基础配置能力。

 

免责       说明

本文章中涉及到的第三方产品H3C设备的配置为实验环境模拟测试配置,未经过H3C厂商验证,实际环境中如有对接H3C产品需求,本配置文档不能作为H3C设备的配置指导文档,我司人员不得参考此文档操作H3C设备,其他人员如参考本文档配置H3C设备,无论出现任何网络问题,我司概不负责。

        

3    配置举例

3.1    组网需求

         如下图所示,奇安信智慧防火墙、H3C路由器作为分支出口设备连接到互联网,SSLVPN设备接入到总部局域网内部,通过出口防火墙链接到互联网。

         奇安信智慧防火墙出口地址:10.44.145.225,H3C路由器出口地址:10.44.145.226,SSLVPN设备所在局域网出口地址:10.44.145.222,智慧防火墙内网地址段:172.16.88.254/24,H3C路由器内网地址段:172.16.99.254/24,SSLVPN设备内网地址段:172.16.66.254/24。

需要IPSEC隧道保护的感兴趣流:分支1到总部:172.16.88.254/24<----->172.16.66.254/24,分支2到总部:172.16.99.254/24<----->172.16.66.254/24

blob.png

3.2    配置思路

1)   完成分支、总部基础网络环境配置,完成分支、总部设备接口地址、路由相关配置。

2)   分支:智慧防火墙和H3C路由器的IPSEC功能配置,总部:SSLVPN设备IPSEC模板配置。

3)   出口防火墙配置DNAT映射,将互联网出口地址:10.44.145.222,UDP500/4500端口映射到SSLVPN地址:192.168.25.1,UDP500/4500端口。

4)   分支:智慧防火墙安全策略、NAT策略配置,H3C路由器NAT策略配置。

5)   配置完成,进行后续功能验证。

3.3    使用版本

         本举例SSLVPN版本为:6.2.150。智慧防火墙版本为:6.1.13.95963,基于以上版本进行配置和验证;

3.4    配置步骤

步骤一:总部:SSLVPN设备基础网络环境配置。分支:和智慧防火墙、H3C路由器基础网络环境配置。

1)   总部:SSLVPN设备配置,配置设备接口地址和路由,本环境SSLVPN未安装接口卡,使用MGT口作为上联接口,HA口作为下联接口;

地址配置:【系统配置】-【网络配置】-【网络接口】

blob.png

blob.png

默认路由配置:【系统配置】-【网络配置】-【网络路由】;

blob.png

2)   分支1:智慧防火墙配置,配置设备接口地址和路由,本环境GE1接口为出口,GE2接口为内网口,地址配置:【网络配置】-【接口】,GE1出口untrust区域,GE2内网口trust区域。

blob.png

blob.png

防火墙默认路由配置:【网络配置】-【路由】-【静态路由】

blob.png

blob.png

3)   分支2:H3C路由器接口地址配置,路由配置。

blob.png

blob.png

 

步骤二:穿越NAT场景,需要IKE使用野蛮模式,本案例IKE使用PSK动态口令验证。IPSEC使用隧道模式,使用ESP协议进行数据加密和校验,必须开启NAT穿越功能;总部:SSLVPN,IPSEC总部模板配置,分支智慧防火墙、H3C路由器,IPSEC常规配置:

*  说明

SSLVPN设备只支持IKEV1,不支持IKEV2版本;穿越NAT场景下,IKE只能使用野蛮模式,IPSEC只能使用ESP协议,ID标识推荐使用FQDN。

IPSEC总部设备,不需要指定分支IPSEC地址。IPSEC分支设备需要指定建立连接的总部设备,IPSEC隧道触发必须由分支发起。

1)   总部:SSLVPN设备IPSEC VPN配置,配置第一阶段IKE配置,【IPSEC-VPN】-【IKE VPN】添加IKE策略第一阶段配置。

blob.png

配置第二阶段IPSEC配置,【IPSEC-VPN】-【IKE VPN】,添加第二阶段IPSEC提议。

blob.png

*  说明

完美向前保护 PFS:是密码学中通讯协议的安全属性,指的是长期使用的主密钥泄漏不会导致过去的会话密钥泄漏。前向保密能够保护过去进行的通讯不受密码或密钥在未来暴露的威胁。如果系统具有前向保密性,就可以保证在私钥泄露时历史通讯的安全,即使系统遭到主动攻击也是如此。

IPSEC策略配置,【IPSEC-VPN】-【IKE VPN】,引用第一阶段第二阶段的提议,按照截图配置野蛮模式,ESP封装协议,隧道模式。配置预共享秘钥“qianxin”。配置接口地址和本段保护子网地址,配置ID类型为FQDN,本端FQDN“zongbu”,配置对端网关地址为“any”,配置对端FQDN“fenzhi”,开启DPD,勾选开启NAT穿越。

blob.png

blob.png


 

*  说明

DPD:(Dead Peer Detection,对等体存活检测)用于检测对端是否存活。本端主动向对端发送DPD请求报文,确认对端是否存活进行检测。如果本端在DPD报文的重传时间间隔(retry seconds)内未收到对端发送的DPD回应报文,则重传DPD请求报文,若重传两次之后仍然没有收到对端的DPD回应报文,则删除该IKE SA和对应的IPsec SA。

2)   SSLVPN开启IPSEC功能,【IPSEC-VPN】-【基本配置】,开启保存。

blob.png

3)   SSLVPN防火墙模块,【防火墙】-【基本配置】,开启防火墙功能,默认规则配置成允许包。

blob.png

*  说明

SSLVPN使用IPSEC功能,防火墙功能必须是开启,允许包状态,否则会出现隧道建立成功,业务无法访问的问题。

 

4)   分支1:智慧防火墙配置IKE提议,【网络配置】-【VPN】-【IPSEC自动隧道】-【IKE提议】,新建IKE提议,保持与SSLVPN设备第一阶段配置一致。

blob.png

智慧防火墙配置IPSEC提议和IPSEC IKE网关,【网络配置】-【VPN】-【IPSEC自动隧道】,创建IPSEC提议,保持与SSLVPN第二阶段配置一致。创建IKE网关,按照截图的方式配置,保持与SSLVPN配置一致。

blob.png

blob.png

blob.png

智慧防火墙配置IPSEC隧道,【网络配置】-【VPN】-【IPSEC自动隧道】,新建IPSEC隧道,勾选IKE网关和IPSEC提议,配置感兴趣流。

blob.png

blob.png

5)   分支2:H3C路由器,感兴趣流ACL配置,IKE配置,IPSEC网关配置,IPSEC策略配置并下发到出口。

ACL配置

blob.png

IKE配置

blob.png

IPSEC网关、策略配置,策略下发到GE1接口

blob.png

 blob.png

步骤三:总部:SSLVPN侧的出口防火墙,出口防火墙基础安全策略,NAT上网策略按照常规出口防火墙部署配置即可,基础配置不赘述,介绍两点关键配置;

1)   出口防火墙关键配置1:源地址NAT策略,需要勾选实际出接口,不能是any接口。

blob.png

2)   出口防火墙关键配置2:增加DNAT策略配置。

blob.png

步骤四:分支1:智慧防火墙,配置安全策略,配置NAT上网策略,分支2:H3C路由器配置NAT上网策略。

1)   智慧防火墙,配置安全策略,新建三个地址段,【对象配置】-【地址】,新建三个地址段。

blob.png

增加三条安全策略;“IPSEC隧道出方向策略”,优先级最高,匹配IPSEC保护的感兴流,将流量引导入安全连接隧道。

blob.png

blob.png

blob.png

“IPSEC隧道入方向策略”,匹配放通入方向的感兴趣流。

blob.png

blob.png

“出方向安全策略”,防火墙基础安全策略,放通内网访问外网。

blob.png

blob.png

智慧防火墙配置上网策略,【策略配置】-【NAT策略】-【源NAT】,新建两条NAT策略,第一条NAT策略“IPSEC流量不转换策略”,匹配感兴趣流,不进行NAT地址转换。第二条NAT策略“上网策略”,内网常规上网策略。

blob.png

blob.png

分支2:H3C路由器配置出方向NAT转换规则,deny掉感兴趣流数据,出接口应用NAT策略。

blob.png

blob.png

步骤五:到此IPSEC及其相关配置完毕,开始后续功能验证环节。

 

4    验证配置

1)   分支1:智慧防火墙上勾选了自动连接,分支会自动发起并建立隧道连接,【数据中心】-【监控】-【隧道监控】,隧道试图和IKE试图可以查看到建立的隧道连接。

blob.png

blob.png

2)   分支2:H3C路由器,需要ping感兴趣流的地址,触发IPSEC隧道的建立,建议成功以后可以查看到ike sa、IPSEC sa信息。

blob.png

blob.png

blob.png

*  说明

注意:第一次触发IPSEC建立会有丢包,建立成功以后流量测试正常。

 

3)   总部:SSLVON页面查看隧道状态:【IPSEC-VPN】-【隧道监控】,状态为:established代表建立IPSEC成功。

blob.png

 

5    注意事项

1)   SSLVPN设备只支持IKEV1版本,不支持IKEV2.

2)   SSLVPN设备使用IPSEC功能,防火墙模块必须要开启,规则是允许包状态,否则会出现隧道建立成功,业务无法访问的问题

3)   穿越NAT场景,IKE交换模式只能使用野蛮模式,IPSEC封装协议只能使用ESP协议。

4)   配置智慧防火墙、H3C路由器需要注意,感兴趣流所在的安全策略优先级需要时最高优先级。上网NAT策略需要排除掉感兴趣流的流量。

5)   总部设备只需要配置一套IPSEC策略模板,不需要为每个分支配置IPSEC策略,使用IPSEC模板的方式,对端IP地址一定要配置成“any”,分支的FQDN标识需要保持一致。