ROS 与CISCO IPSEC VPN对接问题
】July06-08】ROS VPN有两处问题待解决:ROS----------CISCO
ROS本地LAN:10.10.3.0/24
CISCO remote LAN:192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,192.168.5.0/24
1. NAT问题,电信网关设置将192.168.0.0等C类私有IP地址没有在网关上做禁用,其设备设置此类地址为可达路由,所以当ROS设置
ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnataction=masquerade
仅将firewall上开启masquerade做为地址伪装时(NAT吧)所有将以NAT出去,所以不会对IPSEC感兴趣流量中的POLICY策略进行加密,故不发送phase1阶段的协商,进而建立不起链接。效果如下;
C:\Documents and Settings\Ivven>tracert 192.168.2.1
Tracing route to 192.168.2.1 over a maximum of 30 hops
1 1 ms 1 ms 1 ms10.10.3.254
2 15 ms 15 ms 22 ms123.52.94.1
3 18 ms 20 ms 20 ms219.147.62.1
4 20 ms 20 ms 17 ms219.150.148.33
5 19 ms 22 ms 20 ms219.147.51.97
6219.147.49.121reports: Destination host unreachable.
Trace complete.
但是,当ROS设置为:
ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat src-address=10.10.3.0/24 dst-address=0.0.0.0
action=masquerade
制定出masquerade的源地址和目标地址后,重要的是定义出目标地址为0.0.0.0时,所有流量不做masquerade动作,好像不再做NAT转换。故此设置后会建立起IPSEC TUNNEL。
C:\Documents and Settings\Ivven>tracert 192.168.2.1
Tracing route to 192.168.2.1 over a maximum of 30 hops
1 1 ms 1 ms 1 ms10.10.3.254
2 * * * Request timed out.
3 124 ms 122 ms 124 ms192.168.2.1
以上信息为将masquerade中目标地址设置为0.0.0.0时立马建立起IPSEC TUNNEL
Trace complete.
解决思路:
1. 先尝试不定义任何源地址及目标地址masquerade
2. 尝试在ip firewall nat中将IPSEC POLICY 的感兴趣流量设置为非masquerade(即不进行NAT)
2. 以下是IPSEC POLICY的策略:
ip ipsec> policy print
Flags: X - disabled, D - dynamic, I - invalid
0 src-address=10.10.3.0/24:any dst-address=192.168.1.0/24:any protocol=all
action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=123.52.94.48 sa-dst-address=125.40.*.* proposal=default
manual-sa=none dont-fragment=clear
1 src-address=10.10.3.0/24:any dst-address=192.168.2.0/24:any protocol=all
action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=123.52.94.48 sa-dst-address=125.40.*.* proposal=default
manual-sa=none dont-fragment=clear
以上策略可以看出问题,若本段PEER是固定IP地址则已,若本都是采用PPPOE动态获取WAN口IP地址时,会出现无法自动使用WAN口IP地址进行IPsec协商的问题。有人说可以通过脚本来进行实现,不是很清楚。。。 沉了... 为了沉下去的同志,顶一下!!:lol 我也做IPSEC,有连接,但是PING不通。。
页:
[1]