sslVPN也不安全了,使用硬件的IPsecVPN也是更胜一筹,只是调试两端不同品牌的网络设备比较麻烦了
远端:华三h3c的IPsecVPN的配置情况 一开始测试不通啊 电脑上互联网正常,IPsecVPN连接不成功,ping不通总端IP,系统不能登录,华三设备上只能看到发送没有接收 总端这边收到你发过来的包,隧道都正常;怀疑分端那边是不是有拦截或测试没打开 隧道详细信息× 隧道;SA;隧道统计. 柱状图显示丢包统计;饼状图显示丢包统计;刷新 接收的受安全保护的数据包的数目 0 发送的受安全保护的数据包的数目 67 接收的受安全保护的字节数目 0 发送的受安全保护的字节数目 4936 接收的受安全保护的数据包的速率 0 发送的受安全保护的数据包的速率 1 接收的受安全保护的字节速率 0 发送的受安全保护的字节速率 53 被设备丢弃了的接收的受安全保护的数据包的数目 0 被设备丢弃了的发送的受安全保护的数据包的数目 0 被丢弃的重放的数据包的数目 0 因为找不到IPsec SA而被丢弃的数据包的数目 0 因为IPsec SA错误而被丢弃的数据包的数目 0 因为数据包长度不正确而被丢弃的数据包的数目 0 因为认证失败而被丢弃的数据包的数目 0 因为加封装失败而被丢弃的数据包的数目 0 因为解封装失败而被丢弃的数据包的数目 0 因为解封装后检测流范围失败而被丢弃的数据包的数目 0 因为MTU检测失败而被丢弃的数据包的数目 0 因为本机处理的次数超过限制而被丢弃的数据包的数目 0 因为加密速度的限制而被丢弃的数据包的数目 0 诊断项 诊断结果 lPsec对端路由可达 可达 接口状态 物理层up、IP协议层up 接口上应用了IPsec安全策略 已应用 lPsec安全策略的ACL规则匹配指定数据流 是 lPsec策略完整性 配置完整 IKE协商结果 lKE SA不存在或状态不正常 IPSec协商结果 隧道不存在 近端山石设置又如何呢 添加分支机构的名称和IP地址,修改对端设置 如何修改p1提议协议的内容 最终访问成功
设置山石AX500防火墙以支持IPsec VPN的步骤大致如下: 建立隧道:首先,登录到山石防火墙(Hillstone firewall),选择IPsec部分,然后点击新建。 配置第一阶段IKE ×××:在接下来的界面进行IKE ×××的配置,包括选择隧道模式(如代理ID的设置,如果两端设备都是山石则选择自动,否则需要手动指定)。 高级配置:在高级配置中,勾选NAT穿越和对端存活监测,如果存在NAT穿越的情况。 配置第二阶段:接着配置第二阶段的协商参数,包括隧道模式的设置。 配置策略:在策略界面进行配置,选择双向配置,并确保策略被置顶,这是为了确保优先级和通信的顺畅。 源不转换配置:由于在策略模式下不能配置路由,但需要将本地到对端的内网流量进行不转换指定,因此需要进行“源不转换”(SNAT)的配置,以保证隧道内网流量不会被转换成公网出口IP。 测试连接:完成上述配置后,可以通过ping测试来验证IPsec VPN是否成功建立。 这些步骤提供了一个基本的指南,但具体的配置可能会根据山石防火墙的具体型号和版本有所不同。因此,在进行配置前,建议参考山石防火墙的用户手册或官方提供的配置指南,以确保正确无误地完成设置 |
|