《CheckPoint 建立NATed的VPN实现方法.docx》由会员分享,可在线阅读,更多相关《CheckPoint 建立NATed的VPN实现方法.docx(5页珍藏版)》请在金锄头文库上搜索。
1、CheckPoint 建立NATed的VPN实现方法一1, 需求: SiteA与SiteB之间需要通过CP建立VPN,但是双方都不能暴露自己的内网地址给对方,双方协商约定VPN建立的相关参数如下: SiteA公网ip:1.1.1.1 SiteA服务地址为192.168.111.111:80 感兴趣流量SiteB公网ip:2.2.2.2SiteB服务地址为192.168.112.111:80 感兴趣流量 Pre-Shared key : 123456Phase1:Perform key exchange : 3des Perform date : md5 Use DH : group 2 Ren
2、egotiate IKE time : 3600 minutes Phase2: Perform ipsec date : 3des Perform date : md5 Use perfect forward secret Use DH : group 2 Renegotiate IKE time : 36000 seconds2, Site-to-site VPN建立视图参考 根据上面的参数可以得出双方必须把本地的真实服务器经过NAT后通过VPN隧道与对方进行交互。下面针对SiteA方进行详细过程介绍。 2.1,首先建立VPN DOMAIN VPN DOMAIN解释:CP建立VPN时必须先
3、将需要经过VPN的IP地址段通过VPN DOMAIN的形式告知CP,包括源和目的网段。假定此方案中针对SiteA方源为192.168.111.0/24网段,目的为192.168.112.0/24网段。如图: 确定即可,同理建立VPN_DOMAIN_REM 192.168.112.0 255.255.255.0的VPN DOMAIN。 2.2,建立本地CP的GateWay 本地CP GW依照防火墙的是否为cluster等来建立,本例依照cluster来建立,如图: Topology结构如果是本地GW可以通过Get获取,如果是对段的GW则需要手工建立(或者不建立也可以)。然后手工选定VPN DOM
4、AIN,其它保持默认即可。2.3,建立对端GW 如果对段也是CP,就按照2.2所述进行配置即可。这里要讲的是其他设备的GW建立。首先需要明确的是默认情况下CP的左边可能没有Interoperable Device这一项,所以需要添加这一项,如图: Topology结构需要手工建立,或者不建立。VPN DOMAIN手工指定,其它保持默认即可。 2.4,建立site-to-site VPN 我们这里例举site-to-site VPN的建立过程,如图: 点击进去后,在General输入名称即可,在Center Gateways选刚建立的Local_GW,Satellite Gateways选择Si
5、teB_GW,VPN Properties如图: 其它选项都保持默认,即可。 到这里为止,site-to-site的VPN已经建立好,但是还没有做匹配策略。 3, 匹配策略建立 3.1,建立Notes 建立Notes,配置NAT选项,如图: 其中10.1.1.1为真实主机。 注意:这样NAT后的该主机路由到防火墙后都会先进行NAT然后匹配策略,不管是否为VPN的策略。即假如此主机通过防火墙还有其他应用(不需要进行NAT的策略)要做,则不能这样做NATed的VPN,这样就需要借助Address Translation手工建立NAT选项来做了。需要指明的是这个NAT与旁边的Security策略是相对独立的,即假如在这上面做了NAT后如果要再去匹配Security策略,就需要严格做好nat和security的绑定关系了。后面还有一篇文章讲述利用Address Translation来做NATed的VPN。同样建立对端的Notes。 3.2,建立匹配策略 需要注意的是,这里源和目的地址要包括数据流的两个方向,然后加上log好针对日志进行排障。 3.3,Install 此策略即可: 3.4,打开日志,进行检测: 到此为止,经过NAT的VPN已经建立好,然后就是通讯测试过程了。
