UTM IPSEC VPN实现客户端和网关相同子网互访N034

阅读： 评论：0

UTM  IPSEC VPN实现客户端和网关相同子网互访

文档参照：何晨的《UTM案例-IPSEC VPN实现相同子网全网互访》和广西邓战宇提出的解决方案。

1 需求说明

某个组织希望通过互联网实现远程客户端对企业内网安全访问，但是存在外部用户所在子网网段与企业内部网络相同。目标是使用IPSEC VPN技术，但是一般的VPN网关设备和VPN客户端软件很难实现相同子网访问，而UTM的Outbound NAT功能结合VPN 客户端的虚拟IP地址，则可以实现以上功能。

2 网络拓扑

上图：总部网络为UTM100保护的Net1网络，NET1网络的内部地址为192.168.0.0/24网段，其中UTM100设备使用Internal接口接外部网络风刀干燥机，使用WAN1接口接内部网络。外部用户位于Net2网络，使用NAT设备连接网络，Net2网段的地址为192.168.0.0/24，与总部的网段相同。外部用户需要通过IPSEC VPN客户端软件拨入UTM100设备安全访问NET1的地址。该应用适用于某些移动用户所处的网段与总部VPN保护网段相同的情况之下。

测试设备：Power V100UTM，系统版本build007（061108）、build010（070111）

VPN客户端版本：vpnclient2.3.0.0，支持客户端虚拟IP的版本。

3配置步骤

3.1配置VPN 网关

1、按照拓扑配置好UTM设备和NAT设备的基本网络IP地址，注意NET1和NET2两个子网的网段和网关完全相同，并按照测试拓扑图在NET1和NET2分别配置主机。

2、IPSEC的第一阶段配置参照下图，与普通IPSEC功能配置一样选择“连接用户”模式。在高级选项中不选择Nat穿越，否则VPN2.3.0.0版本无法与网关正常协商。

3、在IPSEC的第二阶段的配置中快速识别模式中一定要选择“选择通配符”。

同时选择“启用完全转发安全性（PFS）”，DH组必须选择2。

上图显示：注意必须启用完全转发安全性（PFS），DH组为2。

4、在UTM上配置一个虚拟网段地址资源192.168.6.0/24，作为隧道协商的虚拟网段，分配给VPN客户端的固定虚拟IP地址段使用。再配置自己的NET1受保护网段地址资源192.168.0.0/24。

5、在UTM100上配置加密防火墙策略，本地网络都选择192.168.0.0，本处注意由于网络拓扑的原因，VPN的加密策略是从WAN1接口到Internal接口的策略，切记VPN加密策略是“从内部（受保护子网）到外部（接入网络）”。

6．实现测试要求的功能还必须在命令行下配置将比配加密策略中Outbound NAT的源地址转换为虚拟网段172.16.16.0/24。

宏大自动络筒机了

上图：显示UTM VPN网关与VPN客户端的实际加密策略配置，在VPN网关处的加密策略是受保护子网192.168.0.0/24到远程客户端的虚拟IP网段192.168.6.0/24的加密策略，同时在内部子网主机匹配VPN加密策略进入VPN隧道后，源地址会被转换为172.16.16.0/24地址对客户端访问。同理，VPN客户端使用客户端预先设置的虚拟地址IP与VPN网关的NAT池172.16.16.0/24网段通讯，由172.16.16.0/24将目的地址一一对应到NET1的受保护子网地址。上例中：客户端访问地址172.16.16.99网关会自动对应到内网的192.168.0.99。

UTM100的命令行配置：

config firewall policy

    edit 1

        set srcintf "wan1"

  set dstintf "internal"

        set srcaddr "192.168.0.0"分子筛柱

茶浴炉

        set dstaddr "192.168.6.0"

        set action encrypt

        set schedule "always"

        set service "ANY"

        set natip 172.16.16.0 255.255.255.0  //需要在命令行添加的命令，设置Outbound地址池地址范围

        set inbound enable

        set outbound enable

        set natoutbound enable

        set vpntunnel "p2"

    next

end

3.2 VPN客户端配置

客户端的版本是vpnclient2.3.0.0.

1、客户端阶段一加密策略配置

上图显示：注意“远程网络地址”是UTM网关设置的Outbound地址池的地址，在VPN客户端的用户网络对总部网络的真实地址192.168.0.0/24不可见。用户通过VPN客户端访问172.16.16.X/24的地址对应内网的真实地址192.168.0.X/24的地址，其中最后8位“X”为一一对应。

上图显示：VPN客户端的高级配置，其中必须选中“获取虚拟IP地址”，并设置相关的虚拟I

P地址。

    上图显示：获取虚拟IP的设置，“手工设置”，根据分配给VPN客户端的虚拟IP分配。

2、客户端阶段二加密策略配置

注意：VPN客户端阶段1和阶段2（IPSEC阶段的策略必须与网关对应）

4 验证和调试

发烟筒

隧道建立好后，UTM保护的子网内PC可以通过访问192.168.6.199来访问VPN客户端的虚

拟IP，而VPN可以通过VPN客户端虚拟IP访问网关的NAT池内172.16.16.0/24地址，直接通过访问172.16.16.99来访问对端的192.168.0.99。

>钻机转盘

本文发布于:2023-05-19 12:02:47，感谢您对本站的认可！

本文链接：https://patent.en369.cn/patent/2/105228.html

版权声明：本站内容均来自互联网，仅供演示用，请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系，我们将在24小时内删除。

上一篇：亿邮邮件网关使用说明手册(管理员)

下一篇：现代化支付系统的构成和运行原理。

标签：客户端   地址   配置   策略   虚拟   网络   加密