目录简介... 3 如何判断是 ESP 报文被丢弃的问题呢?... 3 举例一个现网中的真实案例 :... 4 上述故障如何解决呢?... 7 解决方法 2 具体如何去做呢?... 8 没有出现 ESP 丢弃故障的环境 ( 预环境 )... 9 FGT IPsec VPN 配置... 9 Cisc

Size: px

Start display at page:

Download "目录简介... 3 如何判断是 ESP 报文被丢弃的问题呢?... 3 举例一个现网中的真实案例 :... 4 上述故障如何解决呢?... 7 解决方法 2 具体如何去做呢?... 8 没有出现 ESP 丢弃故障的环境 ( 预环境 )... 9 FGT IPsec VPN 配置... 9 Cisc"

绕颗娄
5 years ago
Views:

1 IPsec VPN 隧道建立正常但 VPN 业务却不稳定甚至不通怎么办? 版本 1.0 时间 2017 年 9 月 1 日星期五支持的版本 FortiGate v5.0 v5.2 v5.4 v5.6 作者状态反馈刘康明已审核 support_cn@fortinet.com

2 目录简介... 3 如何判断是 ESP 报文被丢弃的问题呢?... 3 举例一个现网中的真实案例 :... 4 上述故障如何解决呢?... 7 解决方法 2 具体如何去做呢?... 8 没有出现 ESP 丢弃故障的环境 ( 预环境 )... 9 FGT IPsec VPN 配置... 9 Cisco Router 侧配置 IPsec 结果查看人为的创建一个丢弃 ESP 的环境 ( 模拟故障的运营商 ) 出现 ESP 丢弃故障并按方法 2 调整 VPN 的环境 FGT 配置调整 CISCO Router 配置调整查看调整后的结果 Fortinet 公司第 2 页 / 共 34 页

3 简介 IPsec VPN 隧道建立正常, 但是业务却不通或十分不稳定? 以下讨论有一个前提 : 并不是因为配置原因导致的 VPN 业务不通或不稳定, 防火墙配置是正常的, 而只是 ESP 报文在互联网上传输异常, 也就是说运营商转发 ESP 报文的时候存在异常, 或者运营商干脆就直接丢弃了 ESP 报文, 这样的话 IPsec VPN 隧道看上去是好的, 但是实际上业务却无法通信的这种情况不适用于 IPsec VPN 的其他故障环境下如何判断是 ESP 报文被丢弃的问题呢? 其实只需要在设备上抓对应的 ESP 报文即可, 如果只有 OUT 方向的 ESP 而没有任何的 IN 方向的 ESP, 基本上就可以判断是运营商将 ESP 丢包导致的业务不通关于 sniffer 抓包需注意 : 如果数据已经被 NP 加速了, 则可能 sniffer 抓不出来, 为了准确的抓到数据, 可能需要注意调整一下 NP 加速和已经建立好的 Session: sniffer 注意 1: 在相关的 VPN 业务流量的策略下临时关闭 NP 加速 ( 抓包完毕再打开 ): FGT # config firewall policy FGT (policy) # edit 1 ( 假设 VPN 业务相关策略的策略 ID 为 1) FGT (1) # set auto-asic-offload disable FGT (1) # 这样所有与策略相关的数据处理会全部走 CPU, 因此 sniffer 才可以完整的抓到数据流 sniffer 注意 2: 对于已经建立起来的会话 ( 数据已经走了 NP 处理 ), 即便关闭了 NP, 也抓不到包, 因此需先将此 session 过滤出来然后再清除掉这条 session, 让其再新建就抓到包了 : FGT#diagnose sys session filter dst FGT#diagnose sys session filter proto 1 FGT#diagnose sys session clear FGT#diagnose sniffer packet any "host and icmp" 4 抓包命令 : FGT#diagnose sniffer packet any "host and esp 4 FGT#diagnose sniffer packet any "port 500 or port 4500" 4 FGT#diagnose sniffer packet any "esp" 4 Fortinet 公司第 3 页 / 共 34 页

4 ==================================================================== 举例一个现网中的真实案例 : 故障现象 : IPsec VPN 隧道是正常的, 唯独 VPN 业务不稳定, 每天都会随机的出现业务不通的现象, 业务一中断就是 10 分钟以上, 有时候重启设备可以恢复, 有时候重启设备也无法恢复, 非常影响 VPN 业务的使用定位过程 : 首先观察 VPN 业务正常时刻的抓包情况, 分析一下 VPN 业务正常时候的设备处理流程 : 收到加密的 ESP 包 Ping 的 ICMP 包 4 发出加密的 ESP 包 Ping 的 ICMP 包 3 5 IPsec 解密数据分部 FGT60D 移动出口静态固定 IP Internet Port wan2 IP: Internal Port Internal IP: /24 收到 ICMP 请求 Ping 的 ICMP 包 6 分部服务器 IP 网关 :40.1 IPsec_VPN_Tunnel UDP 500 的 IKE 协商报文正常北京电信静态固定 IP Internet Port Port15 IP: Internal Port VLAN200 IP: /24 总部电脑 IP 网关 :200.1 总部 FGT200B IPsec 加密数据发起 ICMP 请求 Ping 的 ICMP 包在总部 FGT200B 上抓包,ICMP 数据从 VLAN200 进来 2. 匹配 IPsec VPN 策略 ( 此处使用了策略模式的 IPsec VPN, 客户没有办法了以为策略模式的 IPsec VPN 就可以解决问题, 实际上问题的症结不在此, 必然是无法解决的, 所以以下看到的抓包里面会没有 ipsec tunnel 接口, 原因是以上 ) 3. 加密 ICMP 数据 (ESP 封装 ), 从 Port15 转发出去, 发往 FGT60D Fortinet 公司第 4 页 / 共 34 页

5 4. 分部 FGT60D 从 WAN2 口收到从 FGT200B 发过来的 ESP 加密报文 5. 解密加密报文 6. 查询路由表, 从 internal 接口直接发送给 HOST ,repaly 反过来处理以上是正常情况下的处理 Fortinet 公司第 5 页 / 共 34 页

那么故障的时候, 我们再看看发生了什么? 每天随机性的出现无法收到总部发过来 ESP 报文同时 FGT60D 主动发出的 ESP 报文, 总部 FGT200B 也没有办法收到, 因此引起 VPN 业务时断时续的故障发出加密的 ESP 包 192.168.200.102 Ping 192.168.40.

1/24 IPsec_VPN_Tunnel UDP 500 的 IKE 协商报文正常北京电信静态固定 IP Internet Port Port15 IP:106.38.65.34 Internal Port VLAN200 IP:192.168.200.1/24 总部 FGT200B IPsec 加密数据 2 分部服务器 IP 192.

6 那么故障的时候, 我们再看看发生了什么? 每天随机性的出现无法收到总部发过来 ESP 报文同时 FGT60D 主动发出的 ESP 报文, 总部 FGT200B 也没有办法收到, 因此引起 VPN 业务时断时续的故障发出加密的 ESP 包 Ping 的 ICMP 包 3 分部 FGT60D 移动出口静态固定 IP Internet Port wan2 IP: Internal Port Internal IP: /24 IPsec_VPN_Tunnel UDP 500 的 IKE 协商报文正常北京电信静态固定 IP Internet Port Port15 IP: Internal Port VLAN200 IP: /24 总部 FGT200B IPsec 加密数据 2 分部服务器 IP 网关 :40.1 总部电脑 IP 网关 :200.1 发起 ICMP 请求 Ping 的 ICMP 包 1 1. 在 FGT200B 上抓包,ICMP 数据从 VLAN200 进来 2. 匹配 IPsec VPN 策略 3. 加密 ICMP 数据 (ESP 封装 ), 从 Port15 转发出去, 发往 FGT60D Fortinet 公司第 6 页 / 共 34 页

7 4. 在 FGT60D 上抓包, 抓不到任何从 IN 方向的 ESP 报文, 也就是说总部 FGT200B 的 ESP 加密数据并没有能够在 FGT60D 被接收, 运营商丢弃了该 ESP 报文 5. 而反过来, 从 FGT60D 侧去 ping 总部的时候, 也只能看到 FGT60D OUT 的 ESP 数据, 对方 FGT200B 无法收到 FGT60D 发出的 ESP 报文, 运营商丢弃了该 ESP 报文基于上述抓包情况可以判断 FGT60D 的 IN 方向和 OUT 方向的 ESP 报文被运营商丢弃另外基于总部的 FGT200B 和其他很多地方都有建立 IPsec VPN, 都有传输 ESP 数据, 其他点并没有上述问题, 唯独和 FGT60D 对接的这边出现了 ESP 被丢包的现象, 可以排除掉 FGT200B 侧 ISP 出口问题故最终判断,FGT60D 的这条移动线路, 存在不定时丢弃 ESP 报文的现象, 需请运营商协助排查, 或者更换一条更加稳定的 ISP 线路 ISP 需重点保障 :UDP Port 500 和 IP 协议号 50 的数据上述故障如何解决呢? 解决方法 1: 找运营商, 要求运营商更换线路, 以便让运营商将丢弃 ESP 报文的问题解决事实证明这个方法未必好用, 上述真实案例中移动运营商并不承认丢弃了 ESP 报文, 只给出一个答复百度可以打开吗? 可以是吗, 那我们的线路没有问题, 这种情况其实蛮被动的 Fortinet 公司第 7 页 / 共 34 页

8 解决方法 2: 在 FGT 上新建一个 VDOM, 将 IPsec VPN 的配置迁移到这个新的 VDOM 上, 同时确保这个 VDOM 处于原先的 root VDOM 的 NAT 后, 利用 IPsec VPN NAT-T 的特性, 将原本 ESP 封装的业务数据的格式强制的切换到 UDP 4500 上, 这样即便 ESP 不通, 只要 UDP 4500 可达 IPsec VPN 的业务就可以恢复 ( 方法 2 的思路是绕开 ESP 报文被运营商丢弃的事实, 的确很多运营商处理起来很麻烦, 甚至不承认问题, 因此通过这个办法可以将问题规避掉, 自己可以掌握解决问题的主动权 ) 解决方法 2 具体如何去做呢? FGT 默认都支持 10 个 VDOM, 也就是相当于把一台墙分成多台墙使用 1. 将设备开启 VDOM, 启用一个 IPsec_VPN 的 VDOM 防火墙, 而原本使用的那个防火墙就变成了 root_vdom, 相当于现在有两台防火墙了 2. 然后新建一条 VDOM-LINK 将两个 VDOM 互连起来, 比如互连的 IP 是 <--> 在 root_vdom 上配置一个公网 IP( 自身的公网 IP ) 的 VIP 映射 (UDP 500/UDP4500) 端口映射到 IPsec_VPN 的 VDOM-LINK 的接口 IP( ), 这个 VIP 是为了以便让外网设备 ( 比如外网 IP )IPsec VPN 可以主动连接过来 4. 最后将原本在 root VDOM 上的 IPsec VPN 配置迁移到 IPsec_VPN VDOM 这台墙上, 外网接口 IP 为 ,IPsec_VPN VDOM 的 IPsec 协商数据将使用 UDP_500 通过 root_vdom 的 SNAT 转发到公网上, 而 IPsec 的业务数据将使用 UDP_4500 通过 root_vdom 的 SNAT 转发到公网上, 可以让本地的 IPsec VPN 主动去连接公网设备的 IPsec VPN 通过上述配置的调整, 最终达到利用 NAT-T 的特性将原本使用 ESP 协议封装业务数据引导到使用 UDP4500 进行封装业务数据并在互联网上传输的目的下面将用实际的配置案例展示如何实现解决方法 2! Fortinet 公司第 8 页 / 共 34 页

没有出现 ESP 丢弃故障的环境 ( 预环境 ) IPsec VPN tunnel FGT Port9 218.203.193.18 F0/1 106.38.65.34 Cisco Router Switch 192.168.40.1 F0/0 192.168.200.1 Host IP:192.168.40.100 Gateway:192.

255.255.0 set allowaccess ping https ssh edit "port9" set ip 218.203.193.18 255.255.255.0 set allowaccess ping https ssh IPsec VPN 第一阶段配置 config vpn ipsec phase1-interface

9 没有出现 ESP 丢弃故障的环境 ( 预环境 ) IPsec VPN tunnel FGT Port F0/ Cisco Router Switch F0/ Host IP: Gateway: Host IP: Gateway: 没有出现故障之前的 IPsec VPN 拓扑图 FGT IPsec VPN 配置 FGT 接口 IP 配置 config system interface edit "switch" set ip set allowaccess ping https ssh edit "port9" set ip set allowaccess ping https ssh IPsec VPN 第一阶段配置 config vpn ipsec phase1-interface edit "vpn" set interface "port9" set proposal 3des-sha1 3des-md5 set dhgrp 5 set remote-gw set psksecret FortiNet Fortinet 公司第 9 页 / 共 34 页

10 IPsec VPN 第二阶段配置 config vpn ipsec phase2-interface edit "vpn" set phase1name "vpn" set proposal 3des-md5 set dhgrp 5 set keepalive enable set auto-negotiate enable set src-subnet set dst-subnet Fortinet 公司第 10 页 / 共 34 页

11 策略配置 config firewall policy edit 1 edit 2 set srcintf "switch" set dstintf "vpn" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set srcintf "vpn" set dstintf "switch" set srcaddr "all" set dstaddr "all" Fortinet 公司第 11 页 / 共 34 页

set action accept set schedule "always" set service "ALL" edit 3 set srcintf "switch" set dstintf "port9" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL"

12 set action accept set schedule "always" set service "ALL" edit 3 set srcintf "switch" set dstintf "port9" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set nat enable 路由配置 config router static edit 1 edit 2 set gateway set device "port9" set dst set device "vpn" Cisco Router 侧配置接口 IP 路由及 NAT 的配置 interface FastEthernet0/0 ip address ip nat inside Fortinet 公司第 12 页 / 共 34 页

13 interface FastEthernet0/1 ip address ip nat outside access-list 102 deny ip access-list 102 permit ip any any ip nat inside source list 102 interface FastEthernet0/1 overload ip route IPsec VPN 的配置 access-list 101 permit ip crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 5 crypto isakmp key FortiNet address ! crypto ipsec transform-set phase2-proposal esp-3des esp-md5-hmac! crypto map VPN 10 ipsec-isakmp set peer set transform-set phase2-proposal match address 101! interface FastEthernet0/1 crypto map VPN IPsec 结果查看 FGT IPsec 协商结果 Cisco IPsec 协商结果 Cisco-1814#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status QM_IDLE 1020 ACTIVE Fortinet 公司第 13 页 / 共 34 页

14 IPv6 Crypto ISAKMP SA Cisco-1814#show crypto ipsec sa interface: FastEthernet0/1 Crypto map tag: VPN, local addr protected vrf: (none) local ident(addr/mask/prot/port):( / /0/0) remote ident(addr/mask/prot/port):( / /0/0) current_peer port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 35, #pkts encrypt: 35, #pkts digest: 35 #pkts decaps: 20, #pkts decrypt: 20, #pkts verify: 20 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #s errors 0, #recv errors 0 local crypto pt.: ,remote crypto pt.: path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0xA1A0DDE6( ) PFS (Y/N): Y, DH group: group5 inbound esp sas: spi: 0xFB8D735E( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } conn id:2019,flow_id:fpga:19,sibling_flags , crypto map: VPN sa timing: remaining key lifetime (k/sec): ( /2594) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xA1A0DDE6( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } Fortinet 公司第 14 页 / 共 34 页

15 conn id:2020,flow_id:fpga:20, sibling_flags , crypto map: VPN sa timing: remaining key lifetime (k/sec): ( /2594) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: 业务测试结果 FGT 业务测试结果 : FGT # execute ping-options source FGT # execute ping PING ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=255 time=2.4 ms 64 bytes from : icmp_seq=1 ttl=255 time=2.4 ms 64 bytes from : icmp_seq=2 ttl=255 time=2.5 ms 64 bytes from : icmp_seq=3 ttl=255 time=2.4 ms 64 bytes from : icmp_seq=4 ttl=255 time=2.5 ms ping statistics packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 2.4/2.4/2.5 ms CISCO 业务测试结果 : Cisco-1814#ping source repeat 100 Type escape sequence to abort. Sing 100, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Success rate is 100 percent(100/100),round-trip min/avg/max=1/3/4 ms 正常情况下业务没有问题人为的创建一个丢弃 ESP 的环境 ( 模拟故障的运营商 ) 现在我们人为的在互联网的设备中添加以下 ACL, 仅仅丢弃 ESP 报文, 而不影响其他流量 Fortinet 公司第 15 页 / 共 34 页

16 access-list 105 deny esp any any access-list 105 permit ip any any interface GigabitEthernet0/17 // ( 模拟互联网设备的 CISCO 交换机 ) switchport access vlan 124 switchport mode access ip access-group 105 in! 这样就会出现, 我们在本文一开始就讨论过的那种情况,IPsec VPN 隧道正常, 但是业务不通, 通过抓包可以看到数据通过 ESP 发往了对方, 但是对方却没有收到, 也就是 ESP 被运营商丢弃了 FGT # execute ping-options source FGT #execute ping PING ( ): 56 data bytes ping statistics packets transmitted, 0 packets received, 100% packet loss FGT # diagnose sniffer packet any "esp and host " 4 interfaces=[any] filters=[esp and host ] port9 out > : ip-proto port9 out > : ip-proto port9 out > : ip-proto port9 out > : ip-proto port9 out > : ip-proto 而 VPN 的状态看上去都是好的, 只是业务不通而已 FGT # diagnose vpn ike gateway list vd: root/0 name: vpn version: 1 interface: port9 16 addr: :500 -> :500 created: 1666s ago IKE SA: created 1/1 established 1/1 time 18240/18240/18240 ms IPsec SA: created 1/1 established 1/1 time 18650/18650/18650 ms id/spi: 1 f87c5e75c6ab7cf1/da5a e2a direction: initiator status: established s ago = 18240ms proposal: 3des-md5 key: eed5e ede-309ec139702e069f-45f3d9d424d32eed lifetime/rekey: 86400/84451 Fortinet 公司第 16 页 / 共 34 页

17 DPD sent/recv: / FGT # diagnose vpn tunnel list list all ipsec tunnel in vd name=vpn ver=1 serial= :0-> :0 lgwy=static tun=intf mode=auto bound_if=16 proxyid_num=1 child_num=0 refcnt=8 ilast=4 olast=4 stat: rxp=105 txp=130 rxb=15880 txb=12520 dpd: mode=active on=1 idle=5000ms retry=3 count=0 seqno=393 natt: mode=none draft=0 interval=0 remote_port=0 proxyid=vpn proto=0 sa=1 ref=2 serial=2 auto-negotiate src: 0: / :0 dst: 0: / :0 SA: ref=5 options= f type=00 soft=0 mtu=1446 expire=1921/0b replaywin=1024 seqno=83 life: type=01 bytes=0/0 timeout=3575/3600 dec: spi=a1a0dde6 esp=3des key=24 05dcc20d569101e26c3184bf7a7dc4f05ac a ah=md5 key=16 83b5cfdbced1f5f0bbfe f393 enc: spi=fb8d735e esp=3des key=24 d9828e6a3cd4eb9dc5bb3478f1c c8e09af78cebc ah=md5 key=16 02f1576f4dda24b93e63c9747e5c36f6 dec:pkts/bytes=105/10420, enc:pkts/bytes=130/19280 npu_flag=00 npu_rgwy= npu_lgwy= npu_selid=1 dec_npuid=0 enc_npuid=0 接下来将按照我们所说的第 2 种方法进行调整 FGT 的配置 Fortinet 公司第 17 页 / 共 34 页

出现 ESP 丢弃故障并按方法 2 调整 VPN 的环境 IPsec_VPN-VDOM VDOM-LINK 10.255.1.1 VDOM-LINK 10.255.1.2 Port9 218.203.193.18 VIP 映射 UDP 500&4500 IPsec VPN tunnel F0/1 106.38.65.34 Cisco Router ROOT-VDOM Switch 192.

18 出现 ESP 丢弃故障并按方法 2 调整 VPN 的环境 IPsec_VPN-VDOM VDOM-LINK VDOM-LINK Port VIP 映射 UDP 500&4500 IPsec VPN tunnel F0/ Cisco Router ROOT-VDOM Switch F0/ Host IP: Gateway: Host IP: Gateway: 预计调整后的拓扑结构 FGT 配置调整第一步, 开启 VDOM 功能 Fortinet 公司第 18 页 / 共 34 页

也可以命令行开启 VDOM FGT # config system global FGT (global) # set

the operation to take effect Do you want to continue?

19 也可以命令行开启 VDOM FGT # config system global FGT (global) # set vdom-admin enable FGT (global) # You will be logged out for the operation to take effect Do you want to continue? (y/n)y 第二步, 新建 IPsec_VPN VDOM 命令行下可看到 : FGT # config vdom FGT (vdom) # edit? <vdom> IPsec_VPN root FGT (vdom) # edit Virtual Domain Name Fortinet 公司第 19 页 / 共 34 页

20 第三步, 创建一条 VDOM-LINK, 将 root VDOM 和 IPsec_VPN VDOM 互连起来, 配置 VLINK 的 IP 的时候注意子网掩码 ( 不要写成 32 位掩码 ) Fortinet 公司第 20 页 / 共 34 页

第四步, 把 root_vdom 里的 IPsec VPN 的相关配置命令行保存, 到时候可以直接刷进 IPsec_VPN VDOM 里面 ( 减少重复的配置 ) FGT # config vdom FGT (vdom) # edit root current vf=root:0 FGT (root) # config vpn ipsec phase1-interface FGT

21 第四步, 把 root_vdom 里的 IPsec VPN 的相关配置命令行保存, 到时候可以直接刷进 IPsec_VPN VDOM 里面 ( 减少重复的配置 ) FGT # config vdom FGT (vdom) # edit root current vf=root:0 FGT (root) # config vpn ipsec phase1-interface FGT (phase1-interface) # show config vpn ipsec phase1-interface edit "vpn" set interface "port9" set proposal 3des-sha1 3des-md5 set dhgrp 5 set remote-gw set psksecret ENC Gq9RR+2M7J0TmpPiF3F1dYn7sDJ6vkPq275dVI5V2xjuc+d8d0GSijC8eAmfdWB7TEwx7 scklaydewvbwzveohscotvj457ouqrxd4skppsmijsu2duk0ru2v+xy+s3g3ej1igk70j K/PlsYS1rtEnIbIUiogdMuJJItETL3Kh7qqkylBy57TbVlmfmyI8O6sLiabg== FGT (phase1-interface) # FGT (root) # config vpn ipsec phase2-interface FGT (phase2-interface) # show config vpn ipsec phase2-interface edit "vpn" set phase1name "vpn" set proposal 3des-md5 set dhgrp 5 set keepalive enable set auto-negotiate enable set src-subnet Fortinet 公司第 21 页 / 共 34 页

18 的 UDP500 和 UDP4500 映射到 IPsec_VPN VDOM 的 VLINK

22 set dst-subnet 第五步, 删除 root_vdom 里面相关的 IPsec VPN 的配置, 包括路由 / 策略 /IPsec 第一阶段 /IPsec 第二阶段全部删除第六步, 在 root_vdom 里创建 VIP 条目, 将公网 IP 的 UDP500 和 UDP4500 映射到 IPsec_VPN VDOM 的 VLINK 接口 IP UDP 500 和 UDP 4500 上 Fortinet 公司第 22 页 / 共 34 页

show config firewall vip edit "218.203.193.

23 命令行下 VIP 的配置 : FGT # config vdom FGT (vdom) # edit root FGT (root) # config firewall vip FGT (vip) # show config firewall vip edit " _IPsec_UDP_500" Fortinet 公司第 23 页 / 共 34 页

24 set extip set extintf "port9" set portforward enable set mappedip " " set protocol udp set extport 500 set mappedport 500 edit " _IPsec_UDP_4500" set extip set extintf "port9" set portforward enable set mappedip " " set protocol udp set extport 4500 set mappedport 4500 FGT (vip) # FGT # config vdom FGT (vdom) # edit root FGT (root) # config firewall policy FGT (policy) # show edit 2 set srcintf "port9" set dstintf "to-vpn-link0" set srcaddr "all" set dstaddr " _IPsec_UDP_4500" " _IPsec_UDP_500" set action accept set schedule "always" set service "ALL" 第七步, 在 IPsec_VPN VDOM 里刷入原本在 root_vdom 里面的 IPsec VPN 配置, 路由以及相应的策略等, 将 root 上面的 IPsec VPN 迁移到 IPsec VPN VDOM 中 config vdom edit IPsec_VPN config vpn ipsec phase1-interface edit "vpn" set interface "to-vpn-link1" --- 修改一下接口, 改成现有的 to-vpn-link1 Fortinet 公司第 24 页 / 共 34 页

25 set proposal 3des-sha1 3des-md5 set dhgrp 5 set remote-gw set psksecret ENC Gq9RR+2M7J0TmpPiF3F1dYn7sDJ6vkPq275dVI5V2xjuc+d8d0GSijC8eAmfdWB7TEwx7 scklaydewvbwzveohscotvj457ouqrxd4skppsmijsu2duk0ru2v+xy+s3g3ej1igk70j K/PlsYS1rtEnIbIUiogdMuJJItETL3Kh7qqkylBy57TbVlmfmyI8O6sLiabg== config vpn ipsec phase2-interface edit "vpn" set phase1name "vpn" set proposal 3des-md5 set dhgrp 5 set keepalive enable set auto-negotiate enable set src-subnet set dst-subnet 路由 : config vdom edit IPsec_VPN config router static edit 0 set dst Fortinet 公司第 25 页 / 共 34 页

set device "vpn" 策略 : config vdom edit IPsec_VPN config firewall policy edit 0 edit 0 set srcintf "to-vpn-link1" set dstintf "vpn" set srcaddr "all" set dstaddr "all" set action accept set schedule

26 set device "vpn" 策略 : config vdom edit IPsec_VPN config firewall policy edit 0 edit 0 set srcintf "to-vpn-link1" set dstintf "vpn" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" set srcintf "vpn" set dstintf "to-vpn-link1" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" 第八步, 接下来考虑一下路由的事情问题 1:root VDOM 去往 /24 应该怎么走? 答 : 应该丢给 IPsec_VPN VDOM, 因此需要在 root 里面添加路由 : Fortinet 公司第 26 页 / 共 34 页

config vdom edit root config router static edit 0 set dst 192.168.200.0 255.255.255.0 set gateway 10.255.1.2 set device "to-vpn-link0" 问题 2:IPsec_VPN VDOM 去往 192.168.200.0/24 应该怎么走?

255.255.0 set device "vpn" 问题 3:IPsec_VPN VDOM 需要发起 IPsec 协商, 默认路由怎么走?

27 config vdom edit root config router static edit 0 set dst set gateway set device "to-vpn-link0" 问题 2:IPsec_VPN VDOM 去往 /24 应该怎么走? 答 : 应该丢给 vpn tunnel, 然后 IPsec 加密发送出去, 此路由在第七步中已经添加, 不需要再添加, 下述命令和截图供参考 : config vdom edit IPsec_VPN config router static edit 0 set dst set device "vpn" 问题 3:IPsec_VPN VDOM 需要发起 IPsec 协商, 默认路由怎么走? 答 : 毫无疑问,IPsec_VPN VDOM 对外只有一个接口, 也就是 to-vpn-link1, 默认路由需要指向 root 的 to-vpn-link0 的接口 IP, 或者不指默认路由也行, 只需要将 IPsec VPN 的对方公网 IP 指向 root 的 to-vpn-link0 的接口 IP 即可 ( 这里的路由明确指定对方公网 IP 的路由会更好, 如果配置为默认路由在 VPN 隧道中断的时候可能存在环路, 实际上只要是正确的策略配置下并不会存在环路, 某些特殊的配置特殊条件下会产生环路, 环路的风险其实相对较少 ) config vdom edit IPsec_VPN config router static Fortinet 公司第 27 页 / 共 34 页

edit 0 set gateway 10.255.1.1 set device "to-vpn-link1" 或 config vdom edit IPsec_VPN config router static edit 0 set dst 106.38.65.34 255.255.255.255 set gateway 10.255.1.1 set device "to-vpn-link1" 上述两条路由都配置上也可以的, 但是保证至少有其中之一然后考虑回程路由 : 问题 4: IPsec_VPN VDOM 的去往 192.

28 edit 0 set gateway set device "to-vpn-link1" 或 config vdom edit IPsec_VPN config router static edit 0 set dst set gateway set device "to-vpn-link1" 上述两条路由都配置上也可以的, 但是保证至少有其中之一然后考虑回程路由 : 问题 4: IPsec_VPN VDOM 的去往 /24 的回程路由应该怎么指? 答 : 毫无疑问需要指给 root VDOM, 因此需要在 IPsec_VPN VDOM 上添加回程路由, 当然如果存在默认路由的情况下, 这条回程路由也不需要指定了, 会匹配默认路由同样也是转发给 root VDOM, 这样也是可以的 config vdom edit IPsec_VPN config router static edit 4 set dst set gateway set device "to-vpn-link1" Fortinet 公司第 28 页 / 共 34 页

问题 5: root VDOM 的去往 192.168.40.0/24 的回程路由应该怎么指? 答 : 由于此时 192.168.40.0/24 是 FGT 直连的网段, 因为有直连路由因此不需要手动配置静态的回程路由, 但是如果内网存在核心交换机, 则需要些针对内网网段 192.168.40.0/24 的回程路由, 此拓扑图环境中不需要配置第九步, 最后再考虑一下策略的事情在第六步中, 我们配置外网访问 VIP 公网 IP 的 UDP500&UDP4500 映射到内网 10.

29 问题 5: root VDOM 的去往 /24 的回程路由应该怎么指? 答 : 由于此时 /24 是 FGT 直连的网段, 因为有直连路由因此不需要手动配置静态的回程路由, 但是如果内网存在核心交换机, 则需要些针对内网网段 /24 的回程路由, 此拓扑图环境中不需要配置第九步, 最后再考虑一下策略的事情在第六步中, 我们配置外网访问 VIP 公网 IP 的 UDP500&UDP4500 映射到内网上的策略, 只此一条策略是不够的其实在 root VDOM 上还缺少三条策略策略 1:IPsec_VPN VDOM 通过 root VDOM 上网的策略,IPsec_VPN VDOM 需要主动向外发起 IPsec VPN 的 IKE 连接请求, 因此一定是需要这条策略的, 且这条策略中 SNAT 需要开启, 需要 SNAT 转换成公网 , 端口的转换会根据反向 VIP 中的端口映射进行保持, 也就是说源端口 UDP 500 会保持为公网 IP 源端口 UDP 500, 源端口 UDP 4500 会保持为公网 IP 源端口 UDP 4500, 这个特性不需要多余的配置, 只要把这条上网策略的 SNAT 开启即可 config vdom edit root config firewall policy edit 0 set srcintf "to-vpn-link0" set dstintf "port9" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" //VLINK 接口 // 外网接口 Fortinet 公司第 29 页 / 共 34 页

set nat enable 策略 2:IPsec_VPN VDOM 通过 root VDOM 访问内网网段 192.168.40.

30 set nat enable 策略 2:IPsec_VPN VDOM 通过 root VDOM 访问内网网段 /24 的策略, 也就是对方 VPN 的网段 /24 如果主动访问 /24 的话, 解密后的报文是从 IPsec_VPN VODM 发出, 将通过 root VDOM 转发到内网接口上, 因此这个流量需要在 root VDOM 上配置允许的策略 config vdom edit root config firewall policy edit 0 set srcintf "to-vpn-link0" //VLINK 接口 set dstintf "switch" // 内网接口 set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" 策略 3:root VDOM 里面的 /24 网段需要主动访问 IPsec_VPN VDOM 里面的 /24 网段, 因此还需要配置 root VDOM 内网接口到连接 IPsec_VPN VDOM 接口的策略, 允许此流量的访问 Fortinet 公司第 30 页 / 共 34 页

以上这三条策略很容易被忽略, 要特别注意, 缺少其中的任何一条策略都将导致 VPN 隧道起不来或业务不通 CISCO Router 配置调整 Cisco Router 侧不需要有任何调整,NAT-T 只需要其中一方处于

31 config vdom edit root config firewall policy edit 0 set srcintf "switch" set dstintf "to-vpn-link0" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" // 内网接口 //VLINK 接口以上这三条策略很容易被忽略, 要特别注意, 缺少其中的任何一条策略都将导致 VPN 隧道起不来或业务不通 CISCO Router 配置调整 Cisco Router 侧不需要有任何调整,NAT-T 只需要其中一方处于 NAT 之后即可, 因此与对方设备无关, 所有配置保持不变即可查看调整后的结果目前为止全部配置调整完毕, 接下来我们看看拓扑调整之后的结果如何 Fortinet 公司第 31 页 / 共 34 页

32 首先可以看到 IPsec 协商过程中使用 UDP 500 和 UDP 4500, 说明 NAT-T 特性起作用了 : FGT (root) # diagnose sniffer packet any "port 500 or port 4500" 4 interfaces=[any] filters=[port 500 or port 4500] to-vpn-link1 out > : udp to-vpn-link0 in > : udp port9 out > : udp port9 in > : udp to-vpn-link0 out > : udp to-vpn-link1 in > : udp to-vpn-link1 out > : udp to-vpn-link0 in > : udp port9 out > : udp port9 in > : udp to-vpn-link0 out > : udp to-vpn-link1 in > : udp to-vpn-link1 out > : udp to-vpn-link0 in > : udp port9 out > : udp port9 in > : udp to-vpn-link0 out > : udp to-vpn-link1 in > : udp 72 可以看到 IPsec_VPN VDOM 里面的 IPsec VPN 协商是成功的,VPN 路由也生效了 : Fortinet 公司第 32 页 / 共 34 页

接下来在 ESP 还是丢包的环境下, 我们看看业务是否可以通信了? Cisco-1814#ping 192.168.40.1 source 192.168.200.1 repeat 10 Type escape sequence to abort. Sing 10, 100-byte ICMP Echos to 192.168.40.1, timeout is 2 seconds: Packet sent with a source address of 192.

33 接下来在 ESP 还是丢包的环境下, 我们看看业务是否可以通信了? Cisco-1814#ping source repeat 10 Type escape sequence to abort. Sing 10, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of !!!!!!!!!! Success rate is 100 percent (10/10), round-trip min/avg/max = 1/2/4 ms FGT # config vdom FGT (vdom) # edit root current vf=root:0 FGT (root) # execute ping-options source FGT (root) # execute ping PING ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=254 time=2.5 ms 64 bytes from : icmp_seq=1 ttl=254 time=2.3 ms 64 bytes from : icmp_seq=2 ttl=254 time=2.3 ms 64 bytes from : icmp_seq=3 ttl=254 time=2.4 ms 64 bytes from : icmp_seq=4 ttl=254 time=2.3 ms ping statistics packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 2.3/2.3/2.5 ms FGT (root) # 双向都可以正常通信以下是一个 NAT-T 环境下的一个 PING 包的过程 FGT (root) # diagnose sniffer packet any "host or icmp" 4 interfaces=[any] filters=[host or icmp] to-vpn-link0 out > : icmp: echo request to-vpn-link1 in > : icmp: echo request vpn out > : icmp: echo request to-vpn-link1 out > : udp 116 Fortinet 公司第 33 页 / 共 34 页

34 // 加密 UDP to-vpn-link0 in > : udp port9 out > : udp 116 //UDP4500 封装 port9 in > : udp 116 // 通过公网传输 to-vpn-link0 out > : udp to-vpn-link1 in > : udp 116 // 解密 UDP vpn in > : icmp: echo reply to-vpn-link1 out > : icmp: echo reply to-vpn-link0 in > : icmp: echo reply 只要双方公网 IP 的 UDP500 和 UDP 4500 这两个端口不存在丢包问题, 那么理论上 IPsec VPN 的状态以及业务转发也会是非常稳定的因此通过方法 2 中讲述的操作步骤, 可以让此类 ESP 报文被运营商丢弃而导致 IPsec VPN 业务异常的故障得到一个相对比较主动的解决现网中事实情况也说明这个方法虽然复杂度有一些, 但是的确非常的有效果 Fortinet 公司第 34 页 / 共 34 页

配置 Cisco 827 上带VPN IPSec NAT 超载的PPPoE

配置 Cisco 827 上带VPN IPSec NAT 超载的PPPoE 配置 Cisco 827 上带 VPN IPSec NAT 超载的 PPPoE 目录简介开始使用前规则先决条件使用的组件配置网络图配置验证故障排除故障排除命令相关信息简介 Cisco 827 路由器通常是 DSL 客户端前置设备 (CPE) 在此示例配置中, 思科 827 配置用于以太网点对点协议 (PPPoE 的 ), 用作使用思科 3600 路由器的 LAN-to-LAN IPSec 隧道中的对端

目录 简介... 3 如何判断是 ESP 报文被丢弃的问题呢?... 3 举例一个现网中的真实案例 :... 4 上述故障如何解决呢?... 7 解决方法 2 具体如何去做呢?... 8 没有出现 ESP 丢弃故障的环境 ( 预环境 )... 9 FGT IPsec VPN 配置... 9 Cisc

目录简介... 3 如何判断是 ESP 报文被丢弃的问题呢?... 3 举例一个现网中的真实案例 :... 4 上述故障如何解决呢?... 7 解决方法 2 具体如何去做呢?... 8 没有出现 ESP 丢弃故障的环境 ( 预环境 )... 9 FGT IPsec VPN 配置... 9 Cisc