Windows和H3C VSR对接隧道模式的IPsec隧道

文化   2024-09-25 21:35   北京  


正文共:1888 字 46 图,预估阅读时间:2 分钟

IPsec的RFC协议规范提到IPsec:RFC2401-互联网协议的安全架构,IPsec定义了两种类型的SA:传输模式和隧道模式。传输模式SA是两个主机之间的安全联盟,也是我们前面使用Windows系统测试的场景Windows和H3C VSR对接IPsec VPN);隧道模式SA是两个安全网关之间的安全联盟,我们之前测试的设备对接大多是安全网关之间隧道模式的IPsec使用IKE建立保护IPv6报文的IPsec隧道

那Windows系统是否可以支持隧道模式呢?我们今天配置Windows Server主机和VSR协商试一下。

“开始”“管理工具”打开“本地安全策略”,或者运行secpol.msc也可以,然后从这里开始配置IPsec。

右击“IP安全策略,在本地计算机”,点击“创建IP安全策略”

配置IP安全策略

欢迎页面,直接“下一步”

配置IP安全策略的“名称”

安全通讯请求页面,有“激活默认响应规则”的选项,不要选,给低版本系统使用的。

勾选“编辑属性”,完成配置。到这里就完成了一个IP安全策略的添加。

点击完成后,在IPsec策略属性页面,有一个默认的IP安全规则,不用管它,点击“添加”IP安全规则。

配置IP安全规则

对于使用隧道模式的IPsec策略,需要添加2条IP安全规则。在向导页面,可以看到IP安全规则的配置步骤:IP隧道操作属性、身份验证方法和筛选器操作。

首先配置第一条从Windows系统到VPN网关的策略,这里选择【隧道终结点由下列IP地址指定】,也就是隧道模式,配置IPv4隧道终结点为VPN网关的IP地址。

网络类型选择默认的“所有网络连接”即可。

配置IP筛选器列表

然后进入到“IP筛选器列表”选择页面,此时列表为空,点击“添加”

配置IP筛选器列表名称,点击“添加”来增加IP筛选器。

配置IP筛选器

IP筛选器用于筛选IP流量需要的源、目标和通信类型信息。

可选描述,勾选“镜像”,也就是双向流量。

指定源地址,选择【我的IP地址】

目标地址选择【一个特定的IP地址或子网】,并填入VSR的子网。

协议选择【任何】,这三步就像是VSR设备配置的IPsec保护的ACL一样。

完成IP筛选器配置。

确认IP筛选器列表信息无误,点击确定。

在安全规则向导中,选中刚才创建的IP筛选器列表,点击下一步。

进入筛选器操作选择页面,列表默认为空,点击“添加”


配置IP安全筛选器操作

添加IP安全筛选器操作,对应VSR的IPsec策略配置。

配置名称和描述信息。

操作选择【协商安全】

不允许与不支持IPsec的计算机通讯。

IP流量安全也就是对流量进行完整性校验和加密,选择【自定义】,点击“设置”

这里主要是确认VSR需要配置的算法,配置仅勾选ESP,完整性算法选择【MD5】,加密算法选择【DES】,点击“确定”完成设置。

设置完成后,点击“下一步”。完成IP安全性筛选器配置。

选中刚才添加的筛选器操作,点击“下一步”

配置身份验证方法,选择预共享密钥(PSK),并配置密钥。

点击完成,到这里就添加完了第一条IP安全规则。

添加第二条IP安全规则

通过前面的操作,Windows系统到天翼云网关的IP安全规则已经添加好了,我们现在重复这些操作,添加一条反向的从天翼云网关到Windows系统的IP安全规则。

IPv4隧道终结点配置为Windows系统的网卡IP地址。

IP筛选器列表配置的源地址和目标地址与前面配置的相反。

筛选器操作可以复用,无需重复配置。

配置身份验证方法和第一次的配置保持一致。

添加完成后,检查新添加的两条IP安全规则处于选中状态。

修改IKE秘钥交换安全方法

切换到“常规”页签,点击“设置”查看或调整IKE秘钥交换的策略属性。

这里的相关配置需要和VSR保持一致;点击“方法”设置安全方法,我们本次仅记录算法,加密算法使用【3DES】,完整性算法使用【SHA1】,DH组使用【中(2)】。

启用IP安全策略

IP安全策略创建完成之后,默认是没有激活的,需要在“本地安全策略”中,右击策略名称点击“分配”进行指派。

分配之后,策略已支指派状态变更为“是”

配置VSR

接下来,我们根据Windows Server的配置,在VSR上创建IPsec策略。

首先,创建名称为windows的IKE keychain,配置与IP地址为10.24.1.2的对端使用的预共享密钥为明文tietouge。

#ike keychain windows pre-shared-key address 10.24.1.2 255.255.255.0 key simple tietouge

我们根据Windows Server的IKE配置,新建一个安全提议,配置认证算法为SHA1,加密算法为3DES,指定DH组为2,设置SA生存时间为28800秒。

#ike proposal 3402 authentication-algorithm sha encryption-algorithm 3des-cbc dh group2 sa duration 28800

创建并配置IKE profile,名称为windows,调用keychain、proposal,并设置身份标识。

#ike profile windows keychain windows match remote identity address 10.24.1.2 255.255.255.255 match local address 10.24.1.1 proposal 3402

配置一个IPv4高级ACL,定义要保护由子网10.24.1.0/24和子网10.20.24.0/24的互访数据流。

#acl advanced 3402 rule 0 permit ip source 10.20.24.0 0.0.0.255 destination 10.24.1.0 0.0.0.255 rule 5 permit ip source 10.24.1.0 0.0.0.255 destination 10.20.24.0 0.0.0.255

创建IPsec安全提议windows,IP报文的封装形式默认为隧道模式,无需调整;采用的安全协议默认为ESP,无需调整;配置ESP协议采用的加密算法为DES,认证算法为MD5。

#ipsec transform-set windows encapsulation-mode tunnel protocol esp esp encryption-algorithm des-cbc esp authentication-algorithm md5

创建一条IKE协商方式的IPsec安全策略,名称为windows,序列号为10。

指定引用ACL 3402,引用安全提议为windows,引用的IKE profile为windows。指定IPsec隧道的本端IP地址为10.24.1.1,对端IP地址为10.24.1.1。

#ipsec policy windows 10 isakmp transform-set windows security acl 3402 local-address 10.24.1.1 remote-address 10.24.1.2 ike-profile windows

在接口G2/0上应用安全策略windows。

#interface GigabitEthernet2/0 ip address 10.24.1.1 255.255.255.0 ipsec apply policy windows
验证配置

配置完成后,我们在Windows Server系统中使用ping触发协商,现象又回到了之前配置隧道模式的场景,首包丢失了,之后业务正常通信。

在VSR上查看IKE SA和IPsec SA信息。

查看抓包信息,确实和路由器的隧道模式现象一样,第一个ping包用于协商IPsec隧道,建立起IPsec隧道连接之后,ping包只有2个。

需要注意的是,Windows和VSR对接,并不能从VSR侧触发协商,可以协商起IKE的SA,但是不能协商起IPsec的SA。

如果从Windows系统抓包查看,可以看到快速模式协商失败,无法进入ESP加密的报文交互。

而如果我们从Windows侧触发协商之后,VSR侧就可以正常发起到Windows系统的访问了。

长按二维码
关注我们吧

Windows和H3C VSR对接IPsec VPN
还能这么玩?Windows通过netsh命令配置IPsec
使用6条命令完成Windows和H3C VSR的IPsec对接
如何通过netsh命令重启主机网卡?
使用IKE数字签名RSA认证建立IPsec隧道的配置案例
HPE VSR配置穿越NAT场景下的ADVPN案例
ADVPN:Hub-Spoke类型组网实验
ADVPN:Full-Mesh模型组网实验
与CentOS用户态完全兼容的TencentOS你用过没?
在Ubuntu系统手撸一个自动搭建openVPN服务端的SHELL脚本
H3C MSR NAT66配置指北
PPPoE Server通过DHCP为用户分配IPv4地址
配置GRE over IPv6隧道
IPsec over GRE over IPv6配置案例
使用ddns-go实现自动配置IPv6的DDNS
Android手机安装Kali系统并配置ddns-go

铁军哥
高级网络规划设计师,中国电信高级技术规划工程师,天翼云认证高级解决方案架构师,H3C认证网络工程师。 继续加油,努力传播知识,影响更多人!
 最新文章