具有动态 IP 地址的对等方的 IPSec VPN 隧道

拓扑结构

pa 防火墙 A (10.129.70.38)-----路由器 (dhcp 服务器)-------(dhcp IP) pa 防火墙 B

配置在 PA 防火墙 B 上

防火墙 B 上的接口从 dhcp 服务器 (配置为 DHCP 服务器的路由器上的接口) 动态获取 IP 地址。

IKE 网关

注意:在本例中, 本地 ID 被提到为 FQDN (电子邮件地址). 但是, 我们可以使用任何可用的限定符, 确保它在对等端也相同。它可能是任何东西, 只要它是相同的另一端。这是一个重要的配置, 因为它是对等方识别动态网关的唯一方法。

注意:由于防火墙 B 具有动态 IP 地址, 因此每次都需要成为 VPN 隧道的启动器. 因此, 不要选择 "启用被动模式"。

IPSec 配置

配置在 PA 防火墙 A

IKE 网关

注意:静态对等点上的对等标识需要与在动态对等方上配置的本地标识相同. 此外, "对等 ip 类型" 在这里是动态的, 因为我们不知道另一端的 ip。

注:由于这是静态对等的, 不知道 IP 地址的动态端, 它将无法启动 VPN. 因此, 我们选择了 "启用被动模式" 选项。

IPSec 配置

最初, 当隧道关闭时, 我们会看到以0.0.0.0 为目标的 ipsec esp 会话, 因为我们不确定对等 IP。

admin@PA-防火墙-显示会话所有
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 ip [端口])
Vsys Dst [Dport]/区域 (已翻译的 ip[端口])
--------------------------------------------------------------------------------
1 个 ipsec esp 活动 TUNN 10.129.72.38 [0]/L3-信任/50 (10.129.72.38 [0])
vsys1 0.0. 0.0 [0]/L3-不信任 (0.0. 0.0 [0])     

注: L3-Trust 是隧道接口的区域, L3-Untrust 是外部接口.

一旦隧道出现, 这将替换为动态对等方的实际 IP 地址:

admin@PA-防火墙-显示会话所有
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 ip [端口])
Vsys Dst [Dport]/区域 (已翻译的 ip[端口])
--------------------------------------------------------------------------------
11 个 ipsec esp 活动 TUNN 10.129.72.38 [53613]/L3-信任/50 (10.129.72.38 [61655])
vsys1 1.1. 1.5 [12024]/L3-不信任 (1.1. 1.5 [43745])