华为防火墙案例 GRE over iPsec 单公网IP

ipsec只能传输协商的加密数据流,也就是需要在协商阶段填写好源目地址,可是这样没法做到两方之间建立三层路由关系。ipsec over gre又无法做到隧道加密和只有一方有公网IP的方案,所以想到用gre over ipsec,做到一方流量可以用对端GRE地址做下一跳的将己方想要走的流量都走向对端并且能够正常和对端交互路由的方法。

做法如下:

  • A设备具有公网ip地址,B设备只有普通宽带拨号后的动态公网地址,所以A设备需要为点到多点通过预共享密钥的被动连接方式,B设备则点到点A设备提供的预共享密钥。
  • A、B设备创建环回口地址(可以不在同一个网段),ipsec加密数据流分别填写本段到对端的环回口地址,建立ipsec
  • 新建gre隧道,源目地址分别填本端和对端的环回口地址,设置gre的ip(可以不在同一网段,但因为后续写路由需要下一跳,所以同一样段比较好记),此时ipsec和gre隧道应当正常建立
  • 新建静态路由,路由下一跳指向对端gre隧道ip
华为防火墙案例 GRE over iPsec 单公网IP
A设备ipsec,B设备则点对点
华为防火墙案例 GRE over iPsec 单公网IP
A设备gre,B设备反之
华为防火墙案例 GRE over iPsec 单公网IP
B设备创建路由,下一跳指向对端gre隧道ip地址(对端需要写回程路由,也可以在隧道基础上建立ospf或isis等三层路由协议)

作者:Zleoco,如若转载,请注明出处:https://www.zleoco.com/?p=1896

发表回复

您的电子邮箱地址不会被公开。

评论列表(1条)

  • 枫恋蓝点
    枫恋蓝点 2023年9月28日 上午10:58

    此方案,配置的时候,注意避坑,防火墙默认会把loopback地址做nat转换,如果在防火墙策略 nat转换里面,没把loopback地址排除nat转换,可能会出现,ipsec对接成功,但是对端无法访问的情况。
    做完no nat 后,在动态路由里面直接宣告gre地址即可实现互访了,动态路由也可以互相访问了。