2021年5月18日 星期二

S小魚仔S Sangfor VPN 與 H3C SecPath V7 搭建 IP SEC VPN

 因為工作關係需要對接「Sangfor VPN」與「H3C SecPath」做 IP SEC VPN ( Site To Site ) 這邊會簡易做一個拓譜環境。

PS. 注意 H3C SecPath WEB UI 操作 IP SEC VPN 問題非常多推薦使用「指令」方式配置 ( WEB UI 不支持 IKE V2 配置 ),本環境採用「IKE V1」配置指令。

簡易拓譜環境


檢查「Sangfor VPN」配置

一. 第一階段 ( IKE Version 1 )


二.  第二阶段 - 入站策略 (對端內網)


三. 第二阶段 - 出站策略 (本地端內網)




四. 安全选项 ( 第二阶段 IPSec 参数 )

配置「H3C SecPath」(指令方式)
PS. 這邊只會講「IP SEC VPN」配置並不會講「策略」應該如何放行這是您自己應該學習的內功。

## Proposal configuration For IKE Version 1 ##
ike proposal 200
authentication-algorithm sha256
encryption-algorithm aes-cbc-256
authentication-method pre-share
dh group5
sa duration 86400
quit

## Keychain configuration For IKE Version 1 ##
ike keychain sangfor_key
pre-shared-key address 193.55.77.2 255.255.255.255 key simple landy
quit

## Profile configuration For IKE Version 1 ##
ike profile sangfor_profile
keychain sangfor_key
local-identity address 193.55.77.1
PS. 若您的「IP SEC VPN」採用「旁掛」透過「Firewall」映射, 就必須採用 (野蠻模式) aggressive」。
PS. 若您的「IP SEC VPN」直接是在「防火牆」配置請採用 (主模式)。
exchange-mode aggressive
match remote identity address 193.55.77.2 255.255.255.255
match local address 193.55.77.1
proposal 200
quit

## ACL Configuration of Customer VPN ##
acl advanced 3111
    rule 10 permit ip source 172.30.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255

## Transform Set For IPSec ## ( Sangfor 安全选项 )
ipsec transform-set ipsec-sangfor
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha1
esp encryption-algorithm aes-cbc-128
pfs dh-group5
quit

## Policy configuration For IPSec ##
PS. 建立連結「策略名稱」為VPN」優先等級「1
ipsec policy vpn 1 isakmp
transform-set ipsec-sangfor
security acl 3111
local-address 193.55.77.1
    remote-address 193.55.77.2
    ike-profile sangfor_profile
    sa duration time-based 3600
#保證「數據」有流量,如果沒有該指令「兩邊沒有數據」就會斷
sa trigger-mode auto
quit

## Apply IPsec Policy  to Outbound Interface ##

PS. 綁定物理「出接口」

interface GigabitEthernet1/0/3

tcp mss 1379

PS. 引用策略名稱為「VPN

ipsec apply policy vpn

quit


## 配置雙方「內網」不做「NAT」數據轉換 ##

object-group ip address h3c_lan

0 network subnet 172.30.0.0 255.255.255.0

object-group ip address sangfor_lan

0 network subnet 172.16.0.0 255.255.255.0


nat policy

rule name VPN_NO_NAT

source-ip h3c_lan

destination-ip sangfor_lan

outbound-interface GigabitEthernet1/0/3

action no-nat


# 檢查「IP SEC VPN」協議是/否協商成功 ##

display ikev sa


PS. 如果「H3C Firewall」同時有「連結」兩組「IP SEC VPN Site」,千萬要注意「名稱要依樣」但「優先級」要分開,這是「H3C Firewall」自身設備「BUG」。