我似乎对 VPN 路由一无所知。我正在尝试设置 IPSec VPN 隧道,以保护我的私有 LAN 和目标主机之间的通信。我的私有 LAN 内的任何设备都应该能够发起与目标主机的连接。但是,如果目标主机想要连接到我的网络(定向到我的公共 IP 地址),我希望将该连接转发到一个特定的服务器 - 192.168.1.65。
我的设置:
私有局域网:192.168.1.1/24
公共 IP:50.XXX
目标主机 IP:173.XXX(使用 CISCO ASA)
我的基本设置运行良好,我的内部 LAN 能够访问互联网。我尝试的 IPSec 配置如下:
/interface ipip
add comment="" disabled=no local-address=50.X.X.X mtu=1460 name=ipip1 \
remote-address=173.X.X.X
/ip address
add address=192.168.1.1/24 broadcast=192.168.1.255 comment="" disabled=no \
interface=ipip1 network=192.168.1.0
/ip ipsec peer
add address=173.X.X.X/32 auth-method=pre-shared-key comment="" \
dh-group=modp1024 disabled=no dpd-interval=disable-dpd \
enc-algorithm=3des exchange-mode=main generate-policy=no \
hash-algorithm=md5 lifebytes=0 lifetime=1d nat-traversal=no port=500 \
proposal-check=obey secret=SECRETKEY send-initial-contact=yes
/ip ipsec policy
add action=encrypt comment="" disabled=no dst-address=173.X.X.X/32 dst-port=any \
ipsec-protocols=esp level=require priority=0 proposal=ipsec protocol=all \
sa-dst-address=173.X.X.X sa-src-address=50.X.X.X \
src-address=50.X.X.X/32:any tunnel=yes
/ip ipsec proposal
set default auth-algorithms=md5 comment="" disabled=no enc-algorithms=3des \
lifetime=60m name=ipsec pfs-group=none
下一步做什么?如何配置才能使我的设备可以启动与主机的连接,并使主机仅启动与特定服务器的连接?是 IP 防火墙 nat、伪装还是 IP 路由?
非常感谢您的帮助。
答案1
- 尝试从 mikrotik ping asa 上的 ipip 隧道中的 ip 地址。如果 IPSec 启动并且 ipip 工作正常,则表示成功。
- 在 VPN 内部构建路由。两侧均为 Mikrotik 和 ASA。
- 如果需要,请制定所需的防火墙规则来过滤 VPN 内部的流量。
您不需要任何 NAT 来连接 VPN 内部。