山石防火墙版本:5.5R9P2
华为防火墙版本:V500R005C00SPC100
拓扑如上
默认已完成接口、nat、路由等基础配置。
山石端配置
- 在网络-VPN-IPSec VPN中新建vpn,IPSec VPN第一阶段配置如下,
| 名称 | 自定义,本次配置为 To-HW |
| 接口 | ethernet0/1 |
| 接口类型 | 默认,IPv4 |
| 协议标准 | 默认,IKEV1 |
| 认证模式 | 默认,主模式 |
| 类型 | 默认,静态IP |
| 对端类型 | 2.2.2.1 |
| 本地ID类型 | 建议选择IPv4类型,值为本地接口IP 1.1.1.1 |
| 对端ID类型 | 建议选择IPv4类型,值为对端接口IP 2.2.2.1 |
| 提议1 | 自定义,本次配置为 psk-sha256-aes128-g2 |
| 预共享密钥 | 自定义,本次配置为 hillstone |
| 连接类型 | 双向 |
| NAT穿越 | 开启,因为华为防火墙默认开启NAT穿越,故本端亦需开启 |
| 对端存活检测 | 开启 |
- 第二阶段配置如下
| 名称 | 自定义,本次配置为 To-HW |
| 模式 | 默认,隧道模式 |
| P2提议 | 自定义,本次配置为esp-sha256-aes128-g0 |
| 代理ID | 手工 |
| 代理ID列表 | 本地:192.168.10.0/24,远程:172.16.10.0/24;与对端待加密数据流相反 |
| 自动连接 | 启用 |
- 在网络-接口中点击新建-隧道接口
| 接口名称 | tunnel 1 |
| 描述 | 自定义,本次配置为 IPSec VPN的名称,便于后期查看 |
| 绑定安全域 | 三层安全域 |
| 安全域 | VPNHub |
| IP地址 | 可选 |
| 隧道绑定配置 | 选择创建的 To-HW |
| 高级配置-逆向路由 | 建议关闭,避免一些问题 |
- 在网络-路由-目的路由中,新建静态路由
| 目的地 | 172.16.10.0 |
| 子网掩码 | 24 |
| 下一跳 | 接口 |
| 接口 | tunnel 1 |
- 在策略-安全策略-策略中,新建安全策略,放行vpn流量
华为端配置
- 在网络-IPSec-IPsec中新建IPSec条目
| 场景 | 默认,点对点 |
| 虚拟系统 | 默认,public |
| 策略名称 | 自定义,本次配置为 To-HS |
| 本端接口 | 10GE1/0/0 |
| 本端地址 | 2.2.2.1 |
| 认证方式 | 预共享密钥 |
| 预共享密钥 | hillstone |
| 本端ID | 类型为IP地址,值为本地接口IP 2.2.2.1 |
| 对端ID | 类型为IP地址,值为对端接口IP 1.1.1.1 |
| 待加密的数据流 | 与对端第二阶段代理ID相反,目的地址:192.168.10.0/24,本地:172.16.10.0/24 |
| 反向路由注入 | 勾选后,会自动生成到对端的隧道路由 |
修改安全提议使两端相同。
- 在策略-安全策略中新建安全策略
允许防火墙发送跟接收IPSec 协商流量
放通trust与untrust之间的感兴趣流的流量
- 在网络-NAT中设置nat策略,禁止转换感兴趣流量
| 名称 | 自定义,本次配置为 ipsec-no-snat |
| NAT类型 | NAT |
| 转换模式 | 不做转换 |
| 源安全区域 | trust |
| 目的类型 | 默认,目的安全区域;值为 untrust |
| 源地址 | 172.16.10.0/24 |
| 目的地址 | 192.168.10.0/24 |
| 服务 | any |
测试
Comments NOTHING