在部分情况下,分支机构使用拨号上网,而且获取的还是私网地址(在运营商还会执行一次NAT)。只要总部有公网IP,分支机构还是可以使用IPsec连接到总部的,但只能由分支路由器发起IPsec连接。 在这种情况下,分支机构没有公网IP,而且还要经过运营商的NAT设备。在配置IPsec时,分支机构路由器的身份验证要使用名称的方式,因为经过NAT设备,IP会改变,所以无法使用IP作为IPsec设备的身份标识。如果使用名称作为身份标识,则IKE阶段1的模式就要使用野蛮模式(Aggressive mode)。 分支机构在NAT设…

2021年1月8日 0条评论 642点热度 0人点赞 arben 阅读全文

H3C路由器IPsec配置示例。本例两端都有公网IP,使用常规配置,不使用模板。 拓扑 拓扑 在总部路由器Hub和分支路由器Spoke1之间建立IPsec连接,路由已配置完成。 Hub和Spoke1都有公网IP 感兴趣流量为 10.1.2.0/24 – 172.16.1.0/24 10.1.3.0/24 – 172.16.1.0/24 IPsec连接成功后,对于感兴趣流量来说,拓扑变成下图所示。可以把IPsec设备和中间的网络整体看成一台路由器。 IPsec连接成功后的拓扑 配置 Hub路由器配置 [Hub]dis…

2021年1月7日 0条评论 481点热度 0人点赞 arben 阅读全文

在阿里云上有一台ECS主机,家里有一台旧笔记本,用来做一台服务器,现在想通过另一台笔记本可以随时连接到家里的服务器。因为家里的服务器和笔记本是拨号上网的,没有固定的公网IP,而且现在很少能获取一个公网IP,所以只能由服务器、笔记本发起IPSEC连接,主动连接到拥有公网IP的阿里云ECS。服务器和笔记本使用本地的网络连接互联网,而不是通过阿里云ECS连接互联网,笔记本仅仅是通过阿里云ECS连接到家里的服务器。 为了让IPSEC连接能进入ECS,需要在阿里云控制台允许IPSEC端口UDP500/UDP4500,ECS本…

2018年7月3日 0条评论 2099点热度 8人点赞 arben 阅读全文

Linux系统的IPSEC VPN https://libreswan.org/wiki/Configuration_examples https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/sec-securing_virtual_private_networks https://blog.csdn.net/lai444132348/article/details/75578548ht…

2018年6月3日 0条评论 753点热度 0人点赞 arben 阅读全文