交流 › RouterOS › RouterOS and NetScreen(NS25) IPSec VPN 配置例子 [08-24更新+H3C]

naboo 发表于 2007-8-23 09:24:15

RouterOS and NetScreen(NS25) IPSec VPN 配置例子 [08-24更新+H3C]

省里做一套监管系统，每天要提取地市数据库的相关数据。因为市级业务系统都已经建成且有一段时间了，所以互联互通很成问题。10多个地市，每家的设备都不一样（但清一色的用防火墙跑路由模式，真xx节俭啊！）。刚刚连通两个地市，其它的还要等。

现将其中一个地市的NetScreen(NS25)墙和ROS的配置拿出来，共同学习一下，我做的配置如果不对，还请大家指正。
另外一家用的神州数码的1800墙，也通了，但那头的配置我拿不出来，只好做罢。
------------------------------------------------------------------------------------------------------------
1.1.1.1:省公网IP（ROS）
2.2.2.2:市公网IP（NS25）

NS25：
ethernet1:内网网卡（nat）
ethernet3:外网网卡（route）

set address "Untrust" "省里" 10.10.10.0 255.255.255.0--建立untrust区域，省内网IP段
set address "Trust" "市里" 192.168.0.0 255.255.255.0--建立trust区域，市内网IP段

set ike gateway "Gateway for 省里" address 1.1.1.1 Main outgoing-interface "ethernet3" preshare "共享密钥" proposal "pre-g2-3des-sha"--认证方式及共享密钥
set ike gateway"Gateway for 省里" nat-traversal
unset ike gateway "Gateway for 省里" nat-traversal udp-checksum
set ike gateway "Gateway for 省里" nat-traversal keepalive-frequency 0
set vpn "VPN for 省里" gateway "Gateway for 省里" no-replay tunnel idletime 0 proposal "g2-esp-3des-sha" --VPN的方式tunnel

set policy id 127 name "省-市" from "Untrust" to "Trust""省里" "市里" "ANY" tunnel vpn "VPN for 省里" id 145 pair-policy 126 --
set policy id 126 name "省-市" from "Trust" to "Untrust""市里" "省里" "ANY" tunnel vpn "VPN for 省里" id 145 pair-policy 127 --两条安全策略

NS25结束
---------------------
我们熟悉的ROS：都不用说了

ip ipsec policy> pr
Flags: X - disabled, D - dynamic, I - invalid

1   src-address=10.10.10.0/24:any dst-address=192.168.0.0/24:any protocol=all
   action=encrypt level=require ipsec-protocols=esp tunnel=yes
   sa-src-address=1.1.1.1 sa-dst-address=2.2.2.2 proposal=市
   manual-sa=none dont-fragment=clear

ip ipsec peer> pr
Flags: X - disabled

1   address=2.2.2.2/32:500 secret="共享密钥" generate-policy=no
   exchange-mode=main send-initial-contact=yes proposal-check=obey
   hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d
   lifebytes=0

ip ipsec proposal> pr
Flags: X - disabled

1   name="市" auth-algorithms=md5,sha1 enc-algorithms=3des,aes-128
   lifetime=30m lifebytes=0 pfs-group=modp1024

ip ipsec> installed-sa
ip ipsec installed-sa> pr
Flags: A - AH, E - ESP, P - pfs, M - manual
0 E   spi=0x5D25650B direction=in src-address=2.2.2.2
       dst-address=1.1.1.1 auth-algorithm=sha1 enc-algorithm=3des
       replay=4 state=mature
       auth-key="xxxxxxf406c6e96fe6e75b7a59949bd4bc3da414"
       enc-key="xxxxxx5afb9b8049ab74c146b16a17949087904597a5f3c8"
       add-lifetime=48m/1h use-lifetime=0s/0s lifebytes=0/0
       current-addtime=aug/23/2007 08:16:23
       current-usetime=aug/23/2007 08:16:28 current-bytes=1840

---------------------2007-08-24   又一地市用H3C（华为）AR18-21A路由连接---------------------

H3C AR18-21A：
#
ike peer 省里
exchange-mode aggressive--ROS，IPSec-Peer中也选aggressive
pre-shared-key huawei2008--共享密钥
remote-address 1.1.1.1--省公网地址
#
ipsec proposal center
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#
ipsec policy-template center 1
ike-peer 省里
proposal center
#
ipsec policy huawei 1 isakmp template center
#
interface Ethernet2/1
ip address 192.168.1.1 255.255.255.0--地市内网地址
#
interface Ethernet3/0
ip address 3.3.3.3 255.255.255.0--地市公网地址
nat outbound 3000--NAT口，应用第3000号ACL
ipsec policy huawei
#
acl number 3000
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 10.10.10.0 0.0.0.255--定义192.168.1段到10.10.10段（省内网段）不走NAT，因为当路由器即配置ipsec，又使用NAT的，一定要在NAT的ACL中deny掉ipsec保护的流，否则需要进行ipsec保护的流会先会被NAT的ACL匹配，进行NAT了，而无法触发ipsec的建立。
rule 1 permit ip source 192.168.1.0 0.0.0.255--这是允许192.168.1段NAT（对上面NAT口,E3/0）
rule 2 deny ip--禁掉其它源IP
#
ip route-static 0.0.0.0 0.0.0.0 3.3.3.254 preference 60--18-21A的静路由表。

华为的命令可以随处下载，这里不多写啦。（还是咱国家华为的东西看着顺眼，看上面netscreen的，一点儿条理都没有，嘿嘿）
连通！！Ping通！！访问数据通！！

------------------------(完，有其它设备再追加)。

[ 本帖最后由 naboo 于 2007-8-24 11:04 编辑 ]

zooyo 发表于 2007-8-23 10:09:17

强贴留名啊，希望naboo兄弟好好测试完善教程，由于环境原因，IPSEC一直都比较空白。

naboo 发表于 2007-8-23 10:20:46

反正现在是通啦～:P

xin005 发表于 2007-8-23 12:05:53

我现在公司也想式IPSee啊,可惜公司和各分公司都是用ADSL上网的,都没有固定的公网IP,而RouterOS的IPsee里写对方公网IP的地方不能写域名很不爽.

loopylf 发表于 2007-8-24 10:44:05

回复 #4 xin005 的帖子

ip ipsec peer
里   address=0.0.0.0/0:500generate-policy=yes,ip ipsec policy可不用写,动态地址端照旧,两边exchange-mode=aggressive   可解决你的问题

cracks 发表于 2007-8-24 18:37:31

几时ros能具体ssl-vpn的能力就好了。。。。。pptp l2tp ipsec vpn加上3.0的open vpn.也算是比较不错的，经济型 的vpn了。:)

jesse 发表于 2007-8-30 15:46:06

ADSL 上网，这么小的上传带宽，建立 VPN 意义也不大。

forestfly 发表于 2007-8-31 09:39:20

好东西，谢谢楼主

brqtpt007 发表于 2007-9-6 22:02:44

好贴.留下了

dingtian 发表于 2007-9-13 17:09:23

用DDNS，再用脚本，对adsl的情况可以解决！

esophack 发表于 2007-10-7 17:34:36

ROS IPSec +SSL-VPN若能实现，比单纯购买昂贵的VPN硬件，对中小型公司或者网吧应用应该是唯一选择

appwizs 发表于 2007-10-19 22:00:41

好东西！！！
顶顶顶！！！

LUYOKY 发表于 2007-10-20 10:08:40

移动也用NetScreen.
很多营业厅离市区太远,没有专线,要ADSL拨号,用NetScreen连接移动的BOSS2.0系统.

我是刚接触NetScreen.出了个怪问题.

终端机装的是winxp,没有装NetScreen前上网正常,装了NetSreen后,很多网站打不开(www.sina.com.cn,www.pconline.com.cn),有部分网站可以打开(www.gd.chinamobile.com,www.pohs.net).移动的BOSS2.0的网站可以打开.打不开的网站可ping通,但打开时只是状态栏显示"web地址已找到,请稍候...".

更奇怪的问题是,上面的问题只是部分机有这样的问题,有部分很正常.一样配置的日立原装机,一样ghost的系统.

虽然不影响正常营业,但也是个问题,搞了几天都搞不好.:(......
有用过NetScreen的高手在吗?

naboo 发表于 2007-10-22 09:25:07

打不开网页的原因很多啊，如果你说一部分机器正常，一部分不正常的话，我们以前也有这样的现像。后来检查发现有一部分人的XP都用过优化大师，优化过网络选项，比如：设置过MTU，增加网卡发送接收等。
我认为具体情况还是要具体分析的。

jylife 发表于 2007-11-13 04:48:34

学习了。。谢谢

查看完整版本: RouterOS and NetScreen(NS25) IPSec VPN 配置例子 [08-24更新+H3C]