深信服FW对接华为云VPN配置指导

云技术搬运工 发表于 2020/09/24 10:36:12 2020/09/24
【摘要】 本地数据中心的出口防火墙选用深信服设备,同时在DMZ区域旁路接入了一台Ipsec VPN,现需要通过VPN接入华为云。

【背景】

本地数据中心的出口防火墙选用深信服设备,同时在DMZ区域旁路接入了一台Ipsec VPN,现需要通过VPN接入华为云。

通过VPN接入华为云网络时,有两种选择:

1、使用本地数据中心防火墙设备直接和华为云端建立VPN连接;

2、使用本地数据中心DMZ区域的专用VPN结合NAT穿越技术与华为云端建立VPN连接;

本文档内容介绍以上两种VPN接入方式的配置指导。



【拓扑】

1.png


实验目标:通过创建VPN连接方式来连通本地网络到VPC子网。(10.0.0.0/16连通172.16.0.0/16)

相关信息说明如下:

1本地数据中心:DMZ区VPN私网IP 10.10.10.10/24;

2本地子网:本地子网为10.0.0.0/16;用户需要访问云上VPC

3NAT配置信息:

ü  公网防火墙:11.11.11.1,

ü  NAT出口IP: 11.11.11.2/24,

ü  VPN设备的NAT映射公网 IP: 11.11.11.11

4云端VPN网关:IP 22.22.22.22,

5云端子网:172.16.0.0/16;


【操作步骤】

一、华为云端的VPN连接资源策略配置

在控制台,按照如下图信息配置

2.png

本实例以华为云端VPN配置信息为基础,详细介绍用户侧深信服设备的VPN配置。


二、深信服配置

1)IKE一阶段配置

选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第一阶段】,确认线路出口(深信服设备会针对该接口自动下发VPN路由信息),选择“新增”第一阶段

3.png

在弹窗界面配置一阶段基本信息和高级配置项,配置界面如下图所示

注:使用DMZ区域专用的VPN进行NAT穿越连接时,协商模式修改为野蛮模式;使用防火墙进行连接协商模式选择缺省主模式或野蛮模式。

 

4.png

深信服设备信息说明

基本信息

【设备名称】自主命名一阶段连接名称,二阶段会调用此设备名称下的相关配置

【设备地址类型】选择“对端是固定IP”

【固定IP】云端VPN网关IP,本实例IP为22.22.22.22

【认证方式】预共享密钥,即PSK,与云端密钥相同

勾选启用设备,启用主动连接为可选配置

高级配置

【ISAKMP存活时间】与云端相同86400s

【支持模式】深信服设备存在NAT穿越场景时推荐选择“野蛮模式”

【D-H群】与云端一致,选择“MODP1536群(5)”

【本端/远端身份类型】IP地址,身份ID选择网关IP,NAT场景选择NAT后的IP

使用DMZ专用VPN选择开启NAT穿越,选择防火墙不开启NAT穿越

DPD为必选配置,加密和认证算法与云端一致,华为云DPD格式为seq-hash-notify


2)Ipsec二阶段配置

选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第二阶段】,分别新增“入站策略”和“出站策略”,详细配置见下图所示

5.png


入站策略

n  【策略名称】自主命名

n  【源IP类型】选择“子网和掩码”

n  【子网及掩码】填写流入本地的子网信息,多个子网逐条创建

n  【对端设备】调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】

n  入站服务选择所有,生效时间选择全天,并启用该策略

出站策略

n  【策略名称】自主命名策略

n  【源IP类型】选择“子网和掩码”

n  【子网及掩码】填写流出本地的子网信息,多个子网逐条创建

n  【对端设备】调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】

n  【SA生存时间】选择和云端一致的3600s出站服务选择所有,生效时间选择全天,并启用该策略

n  【密钥完美向前保密】启用,即开启PFS,此时深信服设备的DH group会与IKE阶段group相同


3)安全选项配置

选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【安全选项】,选择“新增”按钮,在弹出页面配置自定义名称,协议选择与云端相同的“ESP”,认证和加密算法也与云端配置相同,详细配置见下图所示

6.png


三、配置路由

选择【网络】>>【路由】>>【静态路由】后进行新增操作(不同类别设备的操作页面存在差异)。

1.  使用DMZ区域专用网络配置连接

1)   VPN使用原有缺省路由即可,对应VPN路由在IPsec配置时会自动生成;

2)   防火墙添加目标地址为云端子网,下一跳为设备建立VPN连接的私网IP;

2.  使用防火墙配置VPN连接(该场景下不涉及专用网络配置)

1)   防火墙添加目标地址为云端子网,下一跳为出接口的公网IP


四、配置策略及NAT

选择【网络】>>【地址转换】进行新增操作,配置NAT信息;选择【访问控制】>>【应用控制策略】进行新增操作,配置访问策略。在本实例拓扑中,选择防火墙或DMZ区域专用网络,在策略及NAT配置同样存在不同之处。

1.   使用DMZ区域专用配置连接,先配置网关地址两个方向的NAT信息

1)   WAN→DMZ(所在区域)源地址ANY,目标地址11.11.11.11,源端口ANY,目标端口选择ICMP、UDP500、UDP4500,转换后IP10.10.10.10

2)   DMZ→WAN源地址10.10.10.10,目标地址22.22.22.22,源端口ANY,目标端口选择ICMP、UDP500、UDP4500,转换后IP 11.11.11.11

再配置云端子网和本地子网互访的两个方向放行策略

3)   WAN→LAN源地址为172.16.0.0/24,目标地址为10.0.0.0/16,服务为ANY,策略为放行(不配置该网段访问的NAT)

4)   LAN→WAN源地址为10.0.0.0/24,目标地址为172.16.0.0/16,服务为ANY,策略为放行(不配置该网段访问的NAT)

2.   使用防火墙配置VPN连接

不需要配置NAT信息,仅配置子网间的放行策略,还需添加VPN连接建立的放行策略

1)   WAN→DMZ(所在区域) 源地址为ANY,目标地址为11.11.11.2(防火墙出接口地址),服务为ICMP、UDP500、UDP4500,策略为放行

2)   DMZ→WAN源地址为11.11.11.2,目标地址为ANY,服务为ICMP、UDP500、UDP4500,策略为放行


五、结果验证

通过ping测试,本地子网与云上子网互访正常

7.png


六、故障排除

在配置完成后,若发现VPN无法正常使用,可按照如下方式进行排查:

1、检查VPN两侧协商信息

2、检查防火墙ACL和云端安全组配置

3、检查防火墙路由表

4、检查防火墙域间策略

5、检查防火墙NAT配置


详细内容可参考官网链接:https://support.huaweicloud.com/trouble-vpn/vpn_06_0000.html


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。