IPSEC vpn终于成功

鑫飘雪 · 发表于 2007-2-1 19:31:21

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

拓朴如下图

拓朴说明
R3为企业A的routeros，R1为企业A的RouterOS，R2模拟电信局
一、在企业A的ROUTEros上
1、R3上做两条nat规则
[admin@MikroTik] > ip firewall  nat print


Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat src-address=192.168.129.0/24 dst-address=192.168.130.0/24 action=accept

1 chain=srcnat out-interface=wan action=masquerade

2、做一条缺省路由给电信

[admin@MikroTik] > ip route print


Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o

- ospf
#    DST-ADDRESS       PREF-SRC       G GATEWAY       DISTANCE INTERFACE
0 ADC 192.168.1.0/24    192.168.1.249                            wan
1 ADC 192.168.129.0/24 192.168.129.249                         lan
2 A S 0.0.0.0/0                         r 192.168.1.250          wan

3、R3做IPSEC的策略

[admin@MikroTik] > ip ipsec policy print


Flags: X - disabled, D - dynamic, I - invalid
0 src-address=192.168.129.0/24:any dst-address=192.168.130.0/24:any protocol=all

action=encrypt
   level=require ipsec-protocols=esp tunnel=yes sa-src-address=192.168.1.249
   sa-dst-address=192.168.2.254 proposal=default manual-sa=none dont-fragment=clear

4、R3做对等体的认证，并采用预共享密钥

[admin@MikroTik] > ip ipsec peer print


Flags: X - disabled
0 address=192.168.2.254/32:500 secret="martin123456" generate-policy=no

exchange-mode=aggressive
   send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=3des
   dh-group=modp1024 lifetime=1d lifebytes=0

5、做Ipsec 的第二阶段的即ipsec SA,这里采用默认,如果不采用默认，可以新建一个，但是在第三步时

要应用，即 proposal=新建的名字

[admin@MikroTik] > ip ipsec proposal print


Flags: X - disabled
0 name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m lifebytes=0
   pfs-group=modp1024

二、在企业B的ROUTEROS上

1、R1上做两条nat规则

[admin@MikroTik] > ip firewall nat print


Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat src-address=192.168.130.0/24 dst-address=192.168.129.0/24 action=accept

1 chain=srcnat out-interface=wan action=masquerade

2、做一条缺省路由给电信

[admin@MikroTik] > ip route print


Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o

- ospf
#    DST-ADDRESS       PREF-SRC       G GATEWAY       DISTANCE INTERFACE
0 ADC 192.168.2.0/24    192.168.2.254                            wan
1 ADC 192.168.130.0/24 192.168.130.254                         lan
2 A S ;;; added by setup
   0.0.0.0/0                         r 192.168.2.250          wan

3、R1做IPSEC的策略

[admin@MikroTik] > ip ipsec policy print


Flags: X - disabled, D - dynamic, I - invalid
0 src-address=192.168.130.0/24:any dst-address=192.168.129.0/24:any protocol=all

action=encrypt
   level=require ipsec-protocols=esp tunnel=yes sa-src-address=192.168.2.254
   sa-dst-address=192.168.1.249 proposal=default manual-sa=none dont-fragment=clear

4、R1做对等体的认证，并采用预共享密钥

[admin@MikroTik] > ip ipsec peer  print


Flags: X - disabled
0 address=192.168.1.249/32:500 secret="martin123456" generate-policy=no

exchange-mode=aggressive
   send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=3des
   dh-group=modp1024 lifetime=1d lifebytes=0

5、做Ipsec 的第二阶段的即ipsec SA,这里采用默认,如果不采用默认，可以新建一个，但是在第三步时

要应用，即 proposal=新建的名字

admin@MikroTik] > ip ipsec  proposal  print


Flags: X - disabled
0 name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m lifebytes=0
   pfs-group=modp1024

三、测试
在R3连接的客户机上ping 192.168.130.253 发现能ping 通
并在R3或R1执行 ip ipsec installed-sa print ，能看到协商的数据
以下是在R1上执行的

[admin@MikroTik] > ip ipsec  installed-sa print


Flags: A - AH, E - ESP, P - pfs, M - manual
0 E spi=0x86E88506 direction=in src-address=192.168.1.249 dst-address=192.168.2.254
   auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature
   auth-key="1f5def8176159e1e90b1771cb14f416e3c7bd142"
   enc-key="b97635d9e1174dd2a767305d0c6fd11a252d4ddc0ec36f90" add-lifetime=24m/30m
   use-lifetime=0s/0s lifebytes=0/0 current-addtime=feb/02/2007 08:06:00
   current-usetime=feb/02/2007 08:06:02 current-bytes=1120

1 E spi=0xF4AD430B direction=out src-address=192.168.2.254 dst-address=192.168.1.249
   auth-algorithm=sha1 enc-algorithm=3des replay=4 state=mature
   auth-key="00466a0c3ae74e06148acf5078794dd139cf6fc9"
   enc-key="8813571d06ce8ed3bdec42c2deb1740039b5dbadfeedc91a" add-lifetime=24m/30m
   use-lifetime=0s/0s lifebytes=0/0 current-addtime=feb/02/2007 08:06:00
   current-usetime=feb/02/2007 08:06:02 current-bytes=1120

[ 本帖最后由鑫飘雪于 2007-2-2 08:33 编辑 ]

i88917404 · 发表于 2007-2-1 20:12:00

怎么一下就走了，快点来更新哦

zooyo · 发表于 2007-2-1 22:49:24

等着你分享呢，楼主。

显示全部楼层 · 发表于 2007-2-2 00:42:46

提示: 作者被禁止或删除内容自动屏蔽

everest79 · 发表于 2007-2-2 00:46:55

楼上的，嘿嘿

鑫飘雪 · 发表于 2007-2-2 08:22:12

昨晚实在是有事,现已更新,只是把配置列出来,也只是把那天做不出的地方加多也一条路由,那天为什么不做路由，是因为中间少了一个路由器,如果两边做缺省路由时，我想不用IPSEC就能访到对方的内网，由于时间原因，原理性的东西就不说了

鑫飘雪 · 发表于 2007-2-2 08:27:38

版主及各位网友，有没有好一点带宽控制的资料（最好是中文版的，嘿嘿），最近想好好研究一下原理性的知识

[ 本帖最后由鑫飘雪于 2007-2-2 08:36 编辑 ]

zooyo · 发表于 2007-2-2 09:13:28

向一切技术分享的同志致敬！

鑫飘雪 · 发表于 2007-2-2 16:01:51

思科的路由器支持,Routeros不知支不支持,要查一下文档才知道

kewenyaya · 发表于 2007-2-7 23:34:57

电信局的网络怎么模拟.
为什么要模拟电信局的网络呢?有什么不同之处?

蔡都小周 · 发表于 2007-2-16 22:24:19

谢谢楼主分享

qinlulu3 · 发表于 2007-2-18 04:37:52

签个名先

esophack · 发表于 2007-10-7 17:41:23

厚脸皮，占个楼

dingtian · 发表于 2007-10-8 20:06:55

只有用ros拨号，然后和固定ip的一段建立隧道，而且ros不能置于nat后，因3.0之前的版本不支持ipsec的nat-t穿越技术，置于使用adsl拨号的ip地址经常发生变化的问题，可以通过ddns和相应脚本来实现。

wys8898 · 发表于 2007-10-9 16:33:50

向鑫飘雪同志致以最崇高的敬礼...非常感谢您,,这正是我要找的

账号		自动登录	找回密码
密码			注册

lawman 该用户已被删除	发表于 2007-2-2 00:42:46 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
lawman 该用户已被删除	routeros
	回复使用道具举报显身卡

[vpn] IPSEC vpn终于成功

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

回复 #9 flamedragon 的帖子

浏览过的版块