深信服FW对接华为云VPN配置指导

【背景】

本地数据中心的出口防火墙选用深信服设备，同时在DMZ区域旁路接入了一台Ipsec VPN，现需要通过VPN接入华为云。

通过VPN接入华为云网络时，有两种选择：

1、使用本地数据中心防火墙设备直接和华为云端建立VPN连接；

2、使用本地数据中心DMZ区域的专用VPN结合NAT穿越技术与华为云端建立VPN连接；

本文档内容介绍以上两种VPN接入方式的配置指导。

【拓扑】

实验目标：通过创建VPN连接方式来连通本地网络到VPC子网。（10.0.0.0/16连通172.16.0.0/16）

相关信息说明如下：

1、本地数据中心：DMZ区VPN私网IP 10.10.10.10/24；

2、本地子网：本地子网为10.0.0.0/16；用户需要访问云上VPC

3、NAT配置信息：

ü  公网防火墙：11.11.11.1，

ü  NAT出口IP： 11.11.11.2/24，

ü  VPN设备的NAT映射公网 IP： 11.11.11.11

4、云端VPN网关：IP 22.22.22.22，

5、云端子网：172.16.0.0/16；

【操作步骤】

一、华为云端的VPN连接资源策略配置

在控制台，按照如下图信息配置

本实例以华为云端VPN配置信息为基础，详细介绍用户侧深信服设备的VPN配置。

二、深信服配置

1）IKE一阶段配置

选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第一阶段】，确认线路出口（深信服设备会针对该接口自动下发VPN路由信息），选择“新增”第一阶段

在弹窗界面配置一阶段基本信息和高级配置项，配置界面如下图所示

注：使用DMZ区域专用的VPN进行NAT穿越连接时，协商模式修改为野蛮模式；使用防火墙进行连接协商模式选择缺省主模式或野蛮模式。

深信服设备信息说明

基本信息

【设备名称】自主命名一阶段连接名称，二阶段会调用此设备名称下的相关配置

【设备地址类型】选择“对端是固定IP”

【固定IP】云端VPN网关IP，本实例IP为22.22.22.22

【认证方式】预共享密钥，即PSK，与云端密钥相同

勾选启用设备，启用主动连接为可选配置

高级配置

【ISAKMP存活时间】与云端相同86400s

【支持模式】深信服设备存在NAT穿越场景时推荐选择“野蛮模式”

【D-H群】与云端一致，选择“MODP1536群（5）”

【本端/远端身份类型】IP地址，身份ID选择网关IP，NAT场景选择NAT后的IP

使用DMZ专用VPN选择开启NAT穿越，选择防火墙不开启NAT穿越

DPD为必选配置，加密和认证算法与云端一致，华为云DPD格式为seq-hash-notify

2）Ipsec二阶段配置

选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第二阶段】，分别新增“入站策略”和“出站策略”，详细配置见下图所示

入站策略

n  【策略名称】自主命名

n  【源IP类型】选择“子网和掩码”

n  【子网及掩码】填写流入本地的子网信息，多个子网逐条创建

n  【对端设备】调用IKE一阶段配置的对端IP，此处选择一阶段【设备名称】

n  入站服务选择所有，生效时间选择全天，并启用该策略

出站策略

n  【策略名称】自主命名策略

n  【源IP类型】选择“子网和掩码”

n  【子网及掩码】填写流出本地的子网信息，多个子网逐条创建

n  【对端设备】调用IKE一阶段配置的对端IP，此处选择一阶段【设备名称】

n  【SA生存时间】选择和云端一致的3600s出站服务选择所有，生效时间选择全天，并启用该策略

n  【密钥完美向前保密】启用，即开启PFS，此时深信服设备的DH group会与IKE阶段group相同

3）安全选项配置

选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【安全选项】，选择“新增”按钮，在弹出页面配置自定义名称，协议选择与云端相同的“ESP”，认证和加密算法也与云端配置相同，详细配置见下图所示

三、配置路由

选择【网络】>>【路由】>>【静态路由】后进行新增操作（不同类别设备的操作页面存在差异）。

1.  使用DMZ区域专用网络配置连接

1)   VPN使用原有缺省路由即可，对应VPN路由在IPsec配置时会自动生成；

2)   防火墙添加目标地址为云端子网，下一跳为设备建立VPN连接的私网IP；

2.  使用防火墙配置VPN连接（该场景下不涉及专用网络配置）

1)   防火墙添加目标地址为云端子网，下一跳为出接口的公网IP

四、配置策略及NAT

选择【网络】>>【地址转换】进行新增操作，配置NAT信息；选择【访问控制】>>【应用控制策略】进行新增操作，配置访问策略。在本实例拓扑中，选择防火墙或DMZ区域专用网络，在策略及NAT配置同样存在不同之处。

1.   使用DMZ区域专用配置连接，先配置网关地址两个方向的NAT信息

1)   WAN→DMZ（所在区域）源地址ANY，目标地址11.11.11.11，源端口ANY,目标端口选择ICMP、UDP500、UDP4500，转换后IP10.10.10.10

2)   DMZ→WAN源地址10.10.10.10，目标地址22.22.22.22，源端口ANY,目标端口选择ICMP、UDP500、UDP4500，转换后IP 11.11.11.11

再配置云端子网和本地子网互访的两个方向放行策略

3)   WAN→LAN源地址为172.16.0.0/24，目标地址为10.0.0.0/16，服务为ANY，策略为放行（不配置该网段访问的NAT）

4)   LAN→WAN源地址为10.0.0.0/24，目标地址为172.16.0.0/16，服务为ANY，策略为放行（不配置该网段访问的NAT）

2.   使用防火墙配置VPN连接

不需要配置NAT信息，仅配置子网间的放行策略，还需添加VPN连接建立的放行策略

1)   WAN→DMZ（所在区域） 源地址为ANY，目标地址为11.11.11.2(防火墙出接口地址)，服务为ICMP、UDP500、UDP4500，策略为放行

2)   DMZ→WAN源地址为11.11.11.2，目标地址为ANY，服务为ICMP、UDP500、UDP4500，策略为放行

五、结果验证

通过ping测试，本地子网与云上子网互访正常

六、故障排除

在配置完成后，若发现VPN无法正常使用，可按照如下方式进行排查：

1、检查VPN两侧协商信息

2、检查防火墙ACL和云端安全组配置

3、检查防火墙路由表

4、检查防火墙域间策略

5、检查防火墙NAT配置

详细内容可参考官网链接：https://support.huaweicloud.com/trouble-vpn/vpn_06_0000.html