Comment le NAT fonctionne dans IPSecVPN sur le pare-feu usg PARTIE 1 - REIMPRESSION

28 0 0 0

Réimpression autorisée par l'auteur zhushigeng (Vinsoney)

 


182053g5cbjp8xsujatg9b.jpg


Comme indiqué dans la figure ci-dessus, PC1 et FW1 sont des périphériques du site 1, NAT-Device, FW2 et PC2 sont des périphériques du site 2. FW1 et FW2 sont des passerelles IPSecVPN, et un réseau IPSecVPN de site à site doit être établi entre deux sites. La passerelle IPSecVPN du site 2 se trouvant derrière le périphérique NAT du site et utilisant l'espace d'adresses IP privé, afin de garantir que FW1 puisse communiquer avec FW2, un serveur NAT est déployé sur le périphérique NAT et le port UDP500 de l'adresse de réseau public 200.2.2.2 est mappée sur le port UDP500 de 10.0.0.2. FW1 utilise 200.2.2.2 pour accéder à FW2.

Considérons d’abord le problème de l’établissement d’un tunnel VPN IPSec lorsque FW1 et FW2 désactivent NAT Traversal (ou que FW1 et FW2 ne prennent pas en charge NAT Traversal). La négociation d'IPSecVPN est effectuée par ISAKMP, et ISAKMP est basé sur UDP. Les ports source et de destination sont UDP500. Par conséquent, les paquets ISAKMP peuvent être traduits avec succès par NAT-Device. Enfin, IPSecVPN peut être établi. Afficher les SA IPSec sur FW1 et FW2 revient à voir les SA qui ont été négociées. Cependant, les deux ordinateurs rencontrent un problème d’accès entre les deux sites. Nous considérons que PC1 accède à PC2:


182053ivff7nnus8uppanq.jpg


Le paquet envoyé par PC1 est comme indiqué. lorsque le paquet arrive à FW1, il correspond à IPSecVPN sur FW1. Par conséquent, le paquet est crypté, haché, puis l'en-tête ESP est encapsulé et un nouvel en-tête IP est encapsulé. Le paquet traité est envoyé au réseau public et transmis au périphérique NAT. Bien que le mappage des ports du serveur NAT soit déployé sur le périphérique NAT, le paquet reçu est un paquet IP, l'hébergeur ESP suit l'en-tête IP. Sans l'en-tête UDP, il est impossible pour le périphérique NAT de traduire le paquet et de le transférer. FW2. Par conséquent, le paquet sera rejeté par le périphérique NAT. Cela pose le problème suivant: bien que le tunnel VPN IPSec ait été établi, le trafic protégé entre les deux sites ne peut pas communiquer entre eux.

La solution consiste à activer la fonction de conversion NAT sur FW1 et FW2. Une fois la fonction activée, la négociation de conversion NAT sera effectuée lors de la première phase de négociation FW1 et FW2 IKE, et il sera possible de déterminer s'il existe d'autres périphériques NAT entre le pare-feu lors de l'échange de paquets ISAKMP. S'il existe un autre périphérique NAT, la source UDP et le port de destination 4500 sont utilisés pour transmettre les 5ème et 6ème paquets de l'IKE en phase 1 et les trois paquets ISAKMP du suivant en mode rapide et les paquets ESP utilisés pour transporter l'utilisateur. Les données. De cette manière, les paquets peuvent être traduits correctement lorsqu'ils traversent NAT-Device.Une chose à noter ici est d’ajouter des mappages de port 4500 sur le périphérique NAT.


182053jddh7w8h8wofde3h.jpg


De cette manière, lorsque les données envoyées par PC1 atteignent FW1, FW1 encapsule le paquet avec l'en-tête ESP, puis encapsule un en-tête UDP. Les numéros de port source et de destination sont tous 4 500 (ce numéro de port est dédié à IPSec-NAT). ) et encapsule enfin l'en-tête IP du tunnel. Une fois le message terminé, il est remis à NAT-Device. NAT-Device a constaté qu'il s'agit d'un paquet UDP avec un port de destination de 4500 et que le mappage du port local est configuré pour mapper 200.2.2.2:4500 à 10.0.0.2:4500. L'IP de destination est donc converti en 10.0.0.2 et le paquet est transmis. Pour FW2, le processus suivant n'entrera pas dans les détails.

exemple de configuration du NAT IPSecVPN


182054sz3ecahdvn7kbfdv.jpg



configuration :

 

[FW1] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

 

[FW1] acl number 3000                                             

[FW1-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255

 

#configure IKE Proposition - C’est la stratégie d’IKE Phase One 

[FW1] ike proposal 1

[FW1-ike-proposal-1] authentication-method pre-share

[FW1-ike-proposal-1] authentication-algorithm sha1

[FW1-ike-proposal-1] encryption-algorithm 3des-cbc

 

#configure IPSec Proposition - C’est la stratégie de la phase IKE IKE :

[FW1] ipsec proposal myset

[FW1-ipsec-proposal-myset] transform esp

[FW1-ipsec-proposal-myset] esp authentication-algorithm sha1

[FW1-ipsec-proposal-myset] esp encryption-algorithm 3des


#configure IKE peer  clé pré-partagée  associer la proposition IKE attribuer l'adresse IP du pair distant 

[FW1] ike peer fw2

[FW1-ike-peer-fw2] pre-shared-key Huawei123

[FW1-ike-peer-fw2] ike-proposal 1

[FW1-ike-peer-fw2] remote-address 200.2.2.2

[FW1-ike-peer-fw2] remote-address authentication-address 10.0.0.2

[FW1-ike-peer-fw2] nat traversal

 

#configure IPsec Policy 

[FW1] ipsec policy mymap 1 isakmp   

[FW1-ipsec-policy-isakmp-mymap-1] security acl 3000

[FW1-ipsec-policy-isakmp-mymap-1] ike-peer fw2

[FW1-ipsec-policy-isakmp-mymap-1] proposal myset

 

#apply IPsec Policy 

[FW1] interface GigabitEthernet0/0/2

[FW1-GigabitEthernet0/0/2] ipsec policy mymap

 

#autorise le trafic de la zone locale vers la zone non fiable, cela pourrait permettre à FW1 d'envoyer le trafic de négociation ISAKMP et le trafic qui devrait être chiffré et envoyé à FW2 après l'établissement du tunnel:

[FW1] policy interzone local untrust outbound    

[FW1-policy-interzone-local-untrust-outbound] policy 0

[FW1-policy-interzone-local-untrust-outbound-0] policy destination 200.2.2.2 0

[FW1-policy-interzone-local-untrust-outbound-0] action permit


#allouez IPSecVPN provient de l'homologue distant :

[FW1] policy interzone local untrust inbound

[FW1-policy-interzone-local-untrust-inbound] policy 0

[FW1-policy-interzone-local-untrust-inbound-0] policy source 200.2.2.2 0

[FW1-policy-interzone-local-untrust-inbound-0] action permit


#allouez provient d'un poste distant

[FW1] policy interzone trust untrust inbound

[FW1-policy-interzone-trust-untrust-inbound] policy 0

[FW1-policy-interzone-trust-untrust-inbound-0] policy source 10.2.2.0 0.0.0.255

[FW1-policy-interzone-trust-untrust-inbound-0] policy destination 10.1.1.0 0.0.0.255

[FW1-policy-interzone-trust-untrust-inbound-0] action permit


#allouez le trafic du réseau intranet local vers l'intranet distant:

[FW1] policy interzone trust untrust outbound    

[FW1-policy-interzone-trust-untrust-outbound] policy 0

[FW1-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0 0.0.0.255

[FW1-policy-interzone-trust-untrust-outbound-0] policy destination 10.2.2.0 0.0.0.255

[FW1-policy-interzone-trust-untrust-outbound-0] action permit

 

Configuration FW2 :

[FW2] ip route-static 0.0.0.0 0.0.0.0 10.0.0.1

 

[FW2] acl number 3000                                             

[FW2-acl-adv-3000] rule permit ip source 10.2.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 

[FW2] ike proposal 1

[FW2-ike-proposal-1] authentication-method pre-share

[FW2-ike-proposal-1] authentication-algorithm sha1

[FW2-ike-proposal-1] encryption-algorithm 3des-cbc

 

[FW2] ipsec proposal myset

[FW2-ipsec-proposal-myset] transform esp

[FW2-ipsec-proposal-myset] esp authentication-algorithm sha1

[FW2-ipsec-proposal-myset] esp encryption-algorithm 3des

 

[FW2] ike peer fw1

[FW2-ike-peer-fw1] pre-shared-key Huawei123

[FW2-ike-peer-fw1] ike-proposal 1

[FW2-ike-peer-fw1] remote-address 200.1.1.1

[FW2-ike-peer-fw1] nat traversal

 

[FW2] ipsec policy mymap 1 isakmp   

[FW2-ipsec-policy-isakmp-mymap-1] security acl 3000

[FW2-ipsec-policy-isakmp-mymap-1] ike-peer fw1

[FW2-ipsec-policy-isakmp-mymap-1] proposal myset

 

[FW2] interface GigabitEthernet0/0/2

[FW2-GigabitEthernet0/0/2] ipsec policy mymap

 

[FW2] policy interzone local untrust outbound   

[FW2-policy-interzone-local-untrust-outbound] policy 0

[FW2-policy-interzone-local-untrust-outbound-0] policy destination 200.1.1.1 0

[FW2-policy-interzone-local-untrust-outbound-0] action permit

 

[FW2] policy interzone local untrust inbound

[FW2-policy-interzone-local-untrust-inbound] policy 0

[FW2-policy-interzone-local-untrust-inbound-0] policy source 200.1.1.1 0

[FW2-policy-interzone-local-untrust-inbound-0] action permit

 

[FW2] policy interzone trust untrust inbound

[FW2-policy-interzone-trust-untrust-inbound] policy 0

[FW2-policy-interzone-trust-untrust-inbound-0] policy source 10.1.1.0 0.0.0.255

[FW2-policy-interzone-trust-untrust-inbound-0] policy destination 10.2.2.0 0.0.0.255

[FW2-policy-interzone-trust-untrust-inbound-0] action permit

 

[FW2] policy interzone trust untrust outbound    

[FW2-policy-interzone-trust-untrust-outbound] policy 0

[FW2-policy-interzone-trust-untrust-outbound-0] policy destination 10.1.1.0 0.0.0.255

[FW2-policy-interzone-trust-untrust-outbound-0] policy source 10.2.2.0 0.0.0.255

[FW2-policy-interzone-trust-untrust-outbound-0] action permit


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier