|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
】July06-08
】ros VPN有两处问题待解决:ROS----------CISCO
ROS本地LAN:10.10.3.0/24
CISCO remote LAN:192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,192.168.5.0/24
1. NAT问题,电信网关设置将192.168.0.0等C类私有IP地址没有在网关上做禁用,其设备设置此类地址为可达路由,所以当ROS设置
[admin@MikroTik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade
仅将firewall上开启masquerade做为地址伪装时(NAT吧)所有将以NAT出去,所以不会对IPSEC感兴趣流量中的POLICY策略进行加密,故不发送phase1阶段的协商,进而建立不起链接。效果如下;
C:\Documents and Settings\Ivven>tracert 192.168.2.1
Tracing route to 192.168.2.1 over a maximum of 30 hops
1 1 ms 1 ms 1 ms 10.10.3.254
2 15 ms 15 ms 22 ms 123.52.94.1
3 18 ms 20 ms 20 ms 219.147.62.1
4 20 ms 20 ms 17 ms 219.150.148.33
5 19 ms 22 ms 20 ms 219.147.51.97
6 219.147.49.121 reports: Destination host unreachable.
Trace complete.
但是,当ROS设置为:
[admin@MikroTik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat src-address=10.10.3.0/24 dst-address=0.0.0.0
action=masquerade
制定出masquerade的源地址和目标地址后,重要的是定义出目标地址为0.0.0.0时,所有流量不做masquerade动作,好像不再做NAT转换。故此设置后会建立起IPSEC TUNNEL。
C:\Documents and Settings\Ivven>tracert 192.168.2.1
Tracing route to 192.168.2.1 over a maximum of 30 hops
1 1 ms 1 ms 1 ms 10.10.3.254
2 * * * Request timed out.
3 124 ms 122 ms 124 ms 192.168.2.1
以上信息为将masquerade中目标地址设置为0.0.0.0时立马建立起IPSEC TUNNEL
Trace complete.
解决思路:
1. 先尝试不定义任何源地址及目标地址masquerade
2. 尝试在ip firewall nat中将IPSEC POLICY 的感兴趣流量设置为非masquerade(即不进行NAT)
2. 以下是IPSEC POLICY的策略:
[admin@MikroTik] ip ipsec> policy print
Flags: X - disabled, D - dynamic, I - invalid
0 src-address=10.10.3.0/24:any dst-address=192.168.1.0/24:any protocol=all
action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=123.52.94.48 sa-dst-address=125.40.*.* proposal=default
manual-sa=none dont-fragment=clear
1 src-address=10.10.3.0/24:any dst-address=192.168.2.0/24:any protocol=all
action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=123.52.94.48 sa-dst-address=125.40.*.* proposal=default
manual-sa=none dont-fragment=clear
以上策略可以看出问题,若本段PEER是固定IP地址则已,若本都是采用PPPOE动态获取WAN口IP地址时,会出现无法自动使用WAN口IP地址进行IPsec协商的问题。有人说可以通过脚本来进行实现,不是很清楚。。。 |
|