找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 17372|回复: 9

[vpn] site to site ipsec vpn.

[复制链接]
发表于 2006-5-18 12:47:14 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
最近一个案例中做了个ros 和 dlink 808hv做site to site  vpn,看了这个论坛不知为什么好像对ipsec 说的比较少,其实做site to site  vpn用ipsec才是比较自然的。

如有以下两网络需用vpn互联,
10.10.0.0/16?ROS_a?61.132.118.68???internet??-61.177.7.1?ros_b?192.168.0.1/24
ros_a:
ip ipsec peer add address=61.177.7.1 secret=123

ip ipsec policy add src-address=10.10.0.0/16 dst-address=192.168.0.0/24   sa-src-address=61.132.118.68 sa-dst-address=61.177.7.1
     

ros_b:
ip ipsec peer add address=61.132.118.68 secret=123

ip ipsec policy add src-address=192.168.0.0/24   dst-address=10.10.0.0/16   sa-src-address=61.177.7.1 sa-dst-address=61.132.118.68
(注意为了方便这里对ipsec 相应一系列协议都使用了默认,但两边一定要一样,具体在ip ipsec 的policies peers proposals中设置。)
这样你就会在两端在log和ipsec installed sas和remote peer中看到已联上的相关信息,但发现还不能互访对方端域网。

这是由于两边内网做到对端内网的访问时如10.10.10.10对192.168.0.4访问,当数据包到ros_a时面临几个选择,一是直接路由,二是使用默认路由,由于这个目地址不是ros_a不是直接相联的网络,一定是走的默认路由即对外网的访问,由于我们设对外网访问一定用nat或masquerade,两且做这个时为了方便一般是在ip firewall中做如下策略0.0.0.0/0或内网段到0.0.0.0/0 action masquerade或nat,这就出问题了,因为路由器对数据是否走ipsec是在之后做出决定的,现在这个数据包到路由器发现源地址目地址匹配ip firewall中的action masquerade或nat的相关源地址目地址,于是这个数据包先被action 了masquerade或nat,于是源地址发生改变,不匹配ip ipsec policy中的源地址目地址,所以不再会用ipsec封装而远入ipsec tunel,而是被默认路由路由到internat 去了,这样去192.168.0.4当然不会到达了。
说了这么罗嗦,其实解决很简单,就是不要让本内网到彼内网的数据包做nat/masquerade以至改变了源地址,那就是让这种要走ipsec tunel的包不要nat/masquerade,即在ip firewall policy的/masquerade策略前加一个相应数据流的accept,如在ros_a加ip ipsec policy add src-address=10.10.0.0/16 dst-address=192.168.0.0/24 action=accept。ros_b加ip ipsec policy add src-address=192.168.0.0/24 dst-address=10.10.0.0/16 action=accept。
routeros
发表于 2006-5-18 13:02:55 | 显示全部楼层
好铁,学习,顶
routeros
回复

使用道具 举报

发表于 2006-5-19 02:53:38 | 显示全部楼层
研究得很深入,非常好
routeros
回复

使用道具 举报

发表于 2006-5-24 13:52:47 | 显示全部楼层
谢谢,正好连接几个网吧~~~~
routeros
回复

使用道具 举报

发表于 2006-5-26 08:38:55 | 显示全部楼层
好,非常好,写得很详细
routeros
回复

使用道具 举报

发表于 2006-6-1 14:01:01 | 显示全部楼层
好!非常好!
routeros
回复

使用道具 举报

发表于 2006-6-6 06:31:27 | 显示全部楼层
支持,安全认证怎么解决?
routeros
回复

使用道具 举报

发表于 2006-11-9 19:55:57 | 显示全部楼层
我都用了快2年了,两个地方通过ipip连接,用于提供视频点播等等,确实非常方便,而且很稳定,很多时候流量都是30Mbps多
routeros
回复

使用道具 举报

发表于 2010-3-2 13:21:39 | 显示全部楼层
请问你有多少用户同时在线?
routeros
回复

使用道具 举报

发表于 2010-3-3 16:20:30 | 显示全部楼层
回复 9# robbiely


    原理与实际操作,感谢LZ
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-5 21:54 , Processed in 0.054301 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表