找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 12169|回复: 3

[vpn] ROS 与CISCO IPSEC VPN对接问题

[复制链接]
发表于 2008-7-6 01:45:58 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
】July06-08
ros VPN有两处问题待解决:ROS----------CISCO
ROS本地LAN:10.10.3.0/24
CISCO remote LAN:192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,192.168.5.0/24

1.        NAT问题,电信网关设置将192.168.0.0等C类私有IP地址没有在网关上做禁用,其设备设置此类地址为可达路由,所以当ROS设置
[admin@MikroTik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0        chain=srcnat  action=masquerade
仅将firewall上开启masquerade做为地址伪装时(NAT吧)所有将以NAT出去,所以不会对IPSEC感兴趣流量中的POLICY策略进行加密,故不发送phase1阶段的协商,进而建立不起链接。效果如下;
C:\Documents and Settings\Ivven>tracert 192.168.2.1

Tracing route to 192.168.2.1 over a maximum of 30 hops

  1     1 ms     1 ms     1 ms  10.10.3.254
  2    15 ms    15 ms    22 ms  123.52.94.1
  3    18 ms    20 ms    20 ms  219.147.62.1
  4    20 ms    20 ms    17 ms  219.150.148.33
  5    19 ms    22 ms    20 ms  219.147.51.97
  6  219.147.49.121  reports: Destination host unreachable.

Trace complete.

但是,当ROS设置为:
[admin@MikroTik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat src-address=10.10.3.0/24 dst-address=0.0.0.0
     action=masquerade
制定出masquerade的源地址和目标地址后,重要的是定义出目标地址为0.0.0.0时,所有流量不做masquerade动作,好像不再做NAT转换。故此设置后会建立起IPSEC TUNNEL。
C:\Documents and Settings\Ivven>tracert 192.168.2.1

Tracing route to 192.168.2.1 over a maximum of 30 hops

  1     1 ms     1 ms     1 ms  10.10.3.254
  2     *        *        *     Request timed out.
  3   124 ms   122 ms   124 ms  192.168.2.1
以上信息为将masquerade中目标地址设置为0.0.0.0时立马建立起IPSEC TUNNEL

Trace complete.

解决思路:
1.        先尝试不定义任何源地址及目标地址masquerade
2.        尝试在ip firewall nat中将IPSEC POLICY 的感兴趣流量设置为非masquerade(即不进行NAT)

2. 以下是IPSEC POLICY的策略:
[admin@MikroTik] ip ipsec> policy print
Flags: X - disabled, D - dynamic, I - invalid
0   src-address=10.10.3.0/24:any dst-address=192.168.1.0/24:any protocol=all
     action=encrypt level=require ipsec-protocols=esp tunnel=yes
     sa-src-address=123.52.94.48 sa-dst-address=125.40.*.* proposal=default
     manual-sa=none dont-fragment=clear

1   src-address=10.10.3.0/24:any dst-address=192.168.2.0/24:any protocol=all
     action=encrypt level=require ipsec-protocols=esp tunnel=yes
     sa-src-address=123.52.94.48 sa-dst-address=125.40.*.* proposal=default
     manual-sa=none dont-fragment=clear
以上策略可以看出问题,若本段PEER是固定IP地址则已,若本都是采用PPPOE动态获取WAN口IP地址时,会出现无法自动使用WAN口IP地址进行IPsec协商的问题。有人说可以通过脚本来进行实现,不是很清楚。。。
routeros
 楼主| 发表于 2008-7-6 19:01:40 | 显示全部楼层
沉了...
routeros
回复

使用道具 举报

发表于 2008-7-29 00:53:27 | 显示全部楼层
为了沉下去的同志,顶一下!!
routeros
回复

使用道具 举报

发表于 2012-2-24 20:13:05 | 显示全部楼层
我也做IPSEC,有连接,但是PING不通。。
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-5 20:26 , Processed in 0.064248 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表