一:基础设置 防火墙跟内网设备能正常访问 Internet
二:访问规则
防火墙自身属于 Local 区域,所以要把 VPN 网关所在的区域(这里以 Untrust)到 Local
区域的策略放开。
设置:--防火墙—安全策略—本地策略-untrust
三:NAT 策略
做 VPN 的数据流量不需要从外网接口做转换出去上网,这部分流量不做 NAT 转换。
四:VPN
IKE 协商:
先建阶段一,我们对端没有固定 IP,所以对端网关设置方式为不指定对端网关。在高级 里面把加密算法,认证算法,DH 组,完整性算法等设置成跟四信路由器值一样。
阶段二:阶段二为 IPsec 协商阶段 ,一个出口只能引用一个 IPsec 策略模板,所以引
用原有模板 CXIC 子模板 2 (cxic-2),用隧道模式传输,安全协议采用 ESP(四信路由器只 有 ESP 选项),ESP 加密算法用 DES,认证算法用 MD5。
引用 IPsec 策略,应用到公网 IP 接口(如果出口是用 ADSL 拨号时需要把策略应用在 Dialer 接口下),如果原本该策略已经在用的需要先断开,把新的子策略加进去,再应用到接 口下才能生效。需要注意这边是新建 rule,引用 IPsec 策略,就是刚才建的阶段二。
这里可以引用刚才创建的 cxic-2 的策略
填写两端的内网 IP 地址。例:192.168.11.0/24 服务类型选择 IP,动作 Permit
做为这些就可以在监控里面查看 IPsec 连接状态。
四信 F3X34 配置:
一:基础通讯设置
路由器能正常连接 Internet ,网段跟对端内网网段不冲突。
二:IPsec VPN 配置
阶段一 设置:类型跟功能 类型采用:Net-To-Net 虚拟专用网 功能:客户端
连接配置:
本端 WAN 接口 ,就选 WAN 口(有备用 WAN 口可选备用 WAN) 对端地址:对端地址为对端公网地址,也可以称为对端网关 本端子网:路由器的 LAN 网段
对端子网:对端局域网要和你做 VPN 的内网网段 本端标识符:选填
对端标识符:选填
DPD 检测:
DPD 检测建议时间设置长一点或者是不启用 DPD 检测 我在测试中感觉有的时候 VPN 还没连接上,路由器就自己重启了
高级配置:
启用高级配置 第一阶段:
IKE 加密:AES(256bit)
IKE 完整性:MD5
IKE DH 组:组 2
IKE 生命周期:24 小时
第二阶段:
我们设置只支持 ESP 算法(华为设备在选择第二阶段是需要注意)
ESP 加密:DES
ESP 完整性:MD5
ESP 生命周期:1 小时(时间尽量两端一致)
预共享秘钥两端一致就可以了。
做完这些最重要的,在本端局域网中用 PC 去 ping 对端局域网 IP 。因为对端是被动接
收 VPN 请求的,他没有我们这边的网关 IP,只能我们这边去主动发起连接。
验证 VPN 是否已经正常建立:
1.两端对 PING
2.查看 VPN 状态
3.华为状态
4.CLI 模式查看: 查看 IKE 状态:
Display ike sa