问一个关于IPSEC的问题

wangbin2010jy

大神们好，我想问下关于IPSECNAT穿透的问题，我是用华为模拟器搭建的，听说Ike V2的话可以进行NAT穿透的，我就试一下发现不行（也没有发现进行UDP的4500端口）。这里我发出一端的配置
ipsec proposal 1
#
ike proposal 1
#
ike peer wb v2
pre-shared-key cipher %$%$}H"z!S,^u*;l(AQmOU4+,.2n%$%$
ike-proposal 1
remote-address 172.19.1.2
#
ipsec policy wzl 1 isakmp
security acl 3000
ike-peer wb
proposal 1
#
interface GigabitEthernet0/0/0
ip address 172.17.1.1 255.255.255.252
ipsec policy wzl
nat outbound 2000
这里还有问题问一下。在需要PAT调动的ACL中对IPSEC的感兴趣流进行DENY是不是不算NAT穿透的？如果要实现IPSEC的NAT穿透需要怎么样的拓扑以及设置的？求大神们给小弟指点一二，谢谢！

keluhexiaoq

wangbin2010jy 发表于 2020-9-29 17:34
你好，IPSEC,NAT穿透的话只能是这样的拓扑是吗？如果NAT和IPSEC都在一个路由上面不能实现此功能，只能用d ...

对的~~这个就是一个需要nat穿越的场景，如果nat和ipsec在一台路由器上，那么在配置nat时需要将感兴趣流给deny掉。当然nat穿越缺省是开启的，所以隧道中间有没有nat设备是会自动检测的，如果有就启用（也就是在esp前添加一个udp4500），如果没有就不做处理（没影响~~）。

aszluo

用野蛮模式

keluhexiaoq

可以分两种情况看：
1.nat和ipsec部署在同台设备上，即你当前在使用的模式，那么需要考虑到在配置acl时要先将ipsec感兴趣流给deny掉，防止流量直接走公网而不走ipsec隧道。
2.nat和ipsec部署在不同设备上（情况又分很多种），主要可以考虑ipsec策略模板的方式或者野蛮模式，前者的remote-address就好比配置了0.0.0.0（任意地址）所以一般只能是ipsec被动接受方，后者可以用name的指定方式来代替ip的指定方式但其安全性较低。

keluhexiaoq

具体的问题分析最好有一个完整的拓扑，可以帮你看下~~

wangbin2010jy

keluhexiaoq 发表于 2020-9-25 15:10
具体的问题分析最好有一个完整的拓扑，可以帮你看下~~

你好，IPSEC,NAT穿透的话只能是这样的拓扑是吗？如果NAT和IPSEC都在一个路由上面不能实现此功能，只能用deny方式的是吧？谢谢大神

wangbin2010jy

谢谢大神

wangbin2010jy

keluhexiaoq 发表于 2020-9-25 15:08
可以分两种情况看：
1.nat和ipsec部署在同台设备上，即你当前在使用的模式，那么需要考虑到在配置acl时要 ...

大神，再多问一句，如果两个端点都在NAT背后，是不是不能实现IPSEC功能，谢谢！

keluhexiaoq

wangbin2010jy 发表于 2020-10-5 14:16
大神，再多问一句，如果两个端点都在NAT背后，是不是不能实现IPSEC功能，谢谢！

可以的，一边有nat和两边都有nat其实检测原理和处理方式还是一样的，可在两边的nat设备上各自将内部防火墙接口的udp500和udp4500端口映射到公网上，配置对端地址时都指向对方那个公网地址即可。

wangbin2010jy

keluhexiaoq 发表于 2020-10-5 17:23
可以的，一边有nat和两边都有nat其实检测原理和处理方式还是一样的，可在两边的nat设备上各自将内部防火 ...

谢谢大神