系统状态 门户登录

搭建VyattaVPN策略

推荐编辑

下信息引导你搭建交通
源码从2云服务器显示为公有IP
云服务器遍历VPN通道

  • 云服务器1云网IP:172.26.26.2
  • 云服务器2云网IP:172.26.26.3

假设2IP地址似乎出自
10.255.255.xhth登录平台我们将为此提出两种替代解决办法一号
解决方案,我们将只映射我们政策NAT中的具体32地址
第二种解决办法中,我们将把24子网全部应用到NAT
24子网

假想注解

注释 :假设云服务器有预设网关
指向Vyatta
连接aSA或f5if you wish继续云
服务器公共界面上网和云网络
VPN接口专用流量,服务器管理员需要创建
云服务器静态线路远程VPN加密域
点点Vyatta云网络IP地址

Vyatta称静态NAT为双向NAT搜时
维雅塔文件 请记住

地形学

本地Vyatta防火墙

接口

IP地址

描述性

eth0

166.78.184.111/24

公共

eth1

172.26.26.1/24

INSIDE-172.26.26.0/24

远程思科ASA防火墙

接口

IP地址

描述性

ES0/0

192.0.2.1028

外头

ETS0/1

192168.10.1/24

INSIDE-192.168.10.0/24

thes0/2

192168.19.1/24

DMZ-192.168.19.0/24

VPN细节

加密域

VPN本地加密域

VPN远程加密域

INSIDE-172.26.26.0/24

DMZ-192.168.19.0/24

ISAKMP和IPSEC设置

阶段1设置

阶段2设置

AES-256

AES-256

SHA1

SHA1

第五组

PFS5组

8600秒

3600秒

VPN配置

VPN外部接口启动守护程序

启动eth0界面VPN守护
set vseci-ipsec界面ETS0

阶段1定义策略

#阶段1设置:AES-256,SHA1组5,Livetime86400
setvsecike群IK-POLICY-10存续86400
setvsecike群IK-POLICY-10提议1d-Group5
setvsecike群IK-POLICY-10提议1加密es256
setvsecike群IK-POLICY-10提议1hashsha

阶段2定义ESP-GROUP

阶段2设置:AES-256、SHA1、PFS5组3600
集vpnipsAES-256-SHA-PFS-GROUP-5-3600寿命3600
集vpnipsAES-256-SHA-PFS-GROUP-5-3600模式通道
集vpnipsAES-256-SHA-PFS-GROUP-5-3600ss启动
集vpnipsAES-256-SHA-PFS-GROUP-5-3600提议1加密es256
集vpnipsAES-256-SHA-PFS-GROUP-5-3600提议1hashsha

阶段2定义个体同级属性

setvsec站点对等 192.0.2.10描述“VPN toTANGOLABASA-5510
setvsec网站对端
setvsec网站对站
setvcec网站对接192.0.2.10默认esAES-256-SHA-PFS-GROUP-5-3600
setvsec网站对端IK-POLICY-10
setvsec站点对接192.010局部地址166.78.184.111

阶段2定义隧道属性

#地下通道1局部云网(内部)远程DMZ
setvcec站点对站点192.010通道1允许-nat网络失效
spnipsec站点对等
sp-group AES-256-SHA-PFS-GROUP-5-3600
setvsec站点对接192.0.2.10隧道1局部前缀10.255.0/24
setvsec站点对接192.0.2.10隧道1远程前缀192.168.19.0/24

#隧道2局部云网内部
setvcec站点对站点192.010通道2允许-nat网络失效
spnipsec站点对等
ipsc站间对等192.010通道2esgroupAES-256-SHA-PFS-GROUP-5-3600
setvsec站点对接192.0.2.10隧道2本地前缀10.255.0/24
setvsec站点对接192.010隧道2远程前缀1921681.0/24

求解1:带个人地址的政策NAT配置

VPNNAT系统

NAT双向映射 172.26.2 <-> 10.255.202和172.26.3 <->10.252.5203

#规则10-NAT 172.26.2 <-> 10.255.2运通远程VPN加密域
集纳特目的地规则10描述“172.26.2-10.255.255.202PolicyNat
集纳特目的地规则10源地址
集纳特目的地规则10目的地地址
集纳特目的地规则10内插ETS0
集纳特目的地规则10翻译地址172.26.2
集纳特源码规则10描述“172.26.2-10.255.255.202PolicyNat
集纳特源码规则10外向界面ETS0
集纳特源码规则10源地址172.26.26.2
集纳特源码规则10目的地地址
集纳特源码规则10翻译地址

#规则20-NAT 172.26.3 <-> 10.255.3
集纳特目的地规则20描述“172.26.3-10.252.5203PolicyNat
集纳特目的地规则20源地址
集纳特目的地规则20目的地地址
集纳特目的地规则20内侧ETS0
集纳特目的地规则20翻译地址 172.26.26.3
集纳特源码规则20描述“172.26.3-10.252.5203PolicyNat
集纳特源码规则20外界面ETS0
集纳特源码规则20源地址172.26.26.3
集纳特源码规则20目的地地址
集纳特源码规则20翻译地址

规则50PAT所有其它流量从172.262.0/24外部接口IP地址外PAT超载
#备注此流量不是寄存VPN而是寄存非加密互联网流量
setnat源规则50描述'PollicyPAT上网'
setnat源规则50外向界面ETS0
setnat源规则50源地址
setnat源规则50翻译地址装饰

求解2:策略NAT子网转子网

VPNNAT系统

NAT双向映射整个子网172.26.0/24 <-> 10.255.55/24
eg:172.26.2 <->10.252.52和172.26.3 <->102.5553

#规则10-NAT 172.26.0/24 <-> 10.255.255.24
集纳特目的地规则10描述“172.26.0/24-10.255.0/24PolicyNat
集纳特目的地规则10源地址
集纳特目的地规则10目的地地址
集纳特目的地规则10内插ETS0
集纳特目的地规则10翻译地址 172.26.26.0/24
集纳特源码规则10描述“172.26.0/24-10.255.0/24PolicyNat
集纳特源码规则10外向界面ETS0
集纳特源码规则10源地址 172.26.26.0/24
集纳特源码规则10目的地地址
集纳特源码规则10翻译地址

规则50PAT所有其它流量从172.262.0/24外部接口IP地址外PAT超载
#备注此流量不是寄存VPN而是寄存非加密互联网流量
setnat源规则50描述'PollicyPAT上网'
setnat源规则50外向界面ETS0
setnat源规则50源地址
setnat源规则50翻译地址装饰

更新 29天前

Baidu
map