工控網(wǎng)首頁
>

應(yīng)用設(shè)計(jì)

>

工業(yè)路由器與防火墻構(gòu)建IPsecVPN

工業(yè)路由器與防火墻構(gòu)建IPsecVPN

2022/12/8 18:39:06

一、網(wǎng)絡(luò)拓?fù)?

ORC305工業(yè)4G路由器使用SIM卡撥號(hào)上網(wǎng),獲得運(yùn)營商分配的動(dòng)態(tài)私網(wǎng)IP地址。右側(cè)為企業(yè)數(shù)據(jù)中心部署Juniper Netscreen Firewall防火墻,通過企業(yè)專線接入了互聯(lián)網(wǎng),并且使用靜態(tài)公網(wǎng)IP,防火墻WAN接口(Unturst接口)接入互聯(lián)網(wǎng),LAN(Trust接口為企業(yè)內(nèi)網(wǎng))。LTE 4G無線路由器與Juniper Netscreen Firewall防火墻建立IPSec VPN,使得企業(yè)的LAN可以訪問ORC305工業(yè)無線路由器的LAN口設(shè)備。

111.png

二、Juniper Netscreen Firewall配置指導(dǎo)

1.NetScreen配置,如圖所示:

1.png

在NetScreen系列防火墻端口的初始配置下(這里以SSG5系列為例),Bgroup0在trust區(qū)域并關(guān)聯(lián)上了ethernet0/2-6,Bgroup1-3在Null區(qū)域。ethernet0/0口在Untrust區(qū)域。ethernet0/1在DMZ區(qū)域,Serial0/0工作在Null區(qū)域,vlan1工作在Null區(qū)域。在對(duì)WAN口進(jìn)行配置之前可以對(duì)接口做一個(gè)規(guī)劃。在這我們把ethernet0/0做為WAN口放在Untrust區(qū)域。把ethernet0/1也放入到Bgoup0中去做為L(zhǎng)AN口。

2.png

WEBUI Network>Interfaces(List)

3.png

WEBUI Zone Name:Null(只有在Null區(qū)域的接口才能被關(guān)聯(lián)到Bgroup中)

4.png

WEBUI Network>Interfaces(List)f

5.png

WEBUI Network>Interfaces>Edit>Bind Port Bind to current Bgroup Ethernet0/2:(勾選)Ethernet0/3:(勾選)Ethernet0/4:(勾選)Ethernet0/5:(勾選)Ethernet0/6:(勾選)現(xiàn)在E0/1-6就都成為了LAN端口了1.1配置WAN端口1.1.1靜態(tài)IP地址模式下圖中ethernet0/0的IP為172.0.0.254/24為設(shè)備的出廠默認(rèn)值。若運(yùn)用商為該線路分配了IP為125.69.128.0/24的地址,則需要根據(jù)將WAN接口的地址修改為此IP地址。

6.png

WEBUI Network>Interfaces(List)

7.png

WEBUI Network>Interfaces>Edit Static IP IP Address/Netmask:125.69.128.108/24(中心端的固定IP地址)1.1.2 PPPoE模式

8.png

WEBUI Network>Interfaces(List)

9.png

Zone Name:Untrust Obtain IP using PPPoE:Create new pppoe setting

10.png

WEBUI Network>PPPoE>Edit Enable:(勾選)Bound to Interface:ethernet0/0 Username:(填寫pppoe的賬號(hào))Password:(填寫pppoe的密碼)Authentication:any(包含了CHAP PAP兩種認(rèn)證方式)現(xiàn)在Ethernet0/0就已經(jīng)設(shè)置成為了pppoe的WAN端撥號(hào)口。檢查pppoe狀態(tài)

11.png

配置好后在WEBUI Network>PPPoE(List)可以看到State欄會(huì)變成Connected狀態(tài)

12.png

回到WEBUI Network>Interfaces(List)如圖所示在ethernet0/0的pppoe欄會(huì)看到一個(gè)綠色的表示撥號(hào)已經(jīng)成功。并且IP/Network欄會(huì)看到pppoe分配的ip地址和掩碼。如果看到是一個(gè)紅色的表示撥號(hào)沒成功,如果點(diǎn)擊一下系統(tǒng)會(huì)重啟撥號(hào)過程,如果還是失敗就檢查是否線路或者配置有錯(cuò)誤。1.1.3 DHCP動(dòng)態(tài)地址模式

13.png

WEBUI Network>Interfaces(List)

14.png

WEBUI Network>Interfaces>Edit Obtain IP using DHCP:選取點(diǎn)擊ok之后30秒以內(nèi)就可以獲取到IP地址。

2.LAN端口配置,如圖所示:

15.png

WEBUI Network>Interfaces(List)>Edit

16.png

Properties:Basic Zone Name:Trust Static IP:IP Address/Netmask 172.0.0.1/24 Manageable(勾選)Interface Mode:NAT這里需要注意一個(gè)問題,在吧Bgroup0的地址從192.168.1.1/24配置到實(shí)際需要的地址(172.0.0.1/24)之后。由于DHCP中關(guān)于該接口的地址池配置不會(huì)自動(dòng)創(chuàng)建,所以會(huì)導(dǎo)致不能通過WEB界面繼續(xù)對(duì)SSG5進(jìn)行配置。需要給自己的主機(jī)手工設(shè)置一個(gè)地址。如172.0.0.33/24。再在WEB界面登錄172.0.0.1就可以繼續(xù)對(duì)SSG5進(jìn)行配置了。

17.png

WEBUI Network>DHCP(List)

18.png

WEBUI Network>DHCP(List)

19.png

WEBUI Network>DHCP>DHCP Server Address Edit Dynamic:IP Address Start:172.0.0.2(網(wǎng)段中的起始地址)IP Address End:172.0.0.254(網(wǎng)段中的結(jié)束地址)現(xiàn)在取消掉手動(dòng)配置的ip地址以后就可以通過DHCP自動(dòng)獲得IP地址了。

tunnel接口配置,如圖所示:

20.png

WEBUI Network>Interfaces(List)>New

21.png

WEBUI Unnumbered:選擇Interface:ethernet0/0(trust-vr)創(chuàng)建一個(gè)tunnel接口并將改接口關(guān)聯(lián)到WAN口上。以備ipsec發(fā)送數(shù)據(jù)時(shí)使用。1.4配置策略在系統(tǒng)默認(rèn)的情況下我們有一條重Trust區(qū)域所有條目到Untrust區(qū)域的所有條目的策略。而在VPN的環(huán)境中我們必須要做到無論哪個(gè)區(qū)域優(yōu)先發(fā)起的流量都能通信,所以需要在Untrust到Trust的區(qū)域添加一條策略。

22.png

WEBUI Policy>Policy Elements>Addresses>List

23.png

WEBUI Policy>Policy Elements>Addresses>Configuration Address Name:遠(yuǎn)端1LAN(為遠(yuǎn)端1的列表配置一個(gè)名稱)IP Address/Netmask(wildcard mask):192.168.2.0/24(對(duì)端1LAN的地址)Zone:Untrust(遠(yuǎn)端1的流量從tunnel口進(jìn)來屬于Untrust區(qū)域)

24.png

WEBUI Policy>Policy Elements>Addresses>List

25.png

Policy>Policy Elements>Addresses>Configuration Address Name:本地LAN(給本地LAN的條目配置一個(gè)名稱)IP Address/Netmask(wildcard mask):172.0.0.0/24(本地LAN的地址和掩碼)Zone:Trust(本地LAN應(yīng)該屬于Trust區(qū)域)

26.png

WEBUI Policy>Policies(From Untrust To Trust)From:Untrust(選取)to:Trust(選?。?/p>

27.png

WEBUI Policy>Policies(From Untrust To Trust)Source Address:Address Book Enty:遠(yuǎn)端1LAN(之前為遠(yuǎn)端1條目創(chuàng)建的列表,因?yàn)槭菑腢ntrust到trust所以這里為源)Destination Address:Address Book Enty:本地LAN(本地LAN列表名)點(diǎn)擊OK一條從Untrust到Trust的策略就配置好了。使得雙方的LAN端可以順利通信。

三、ORC305路由器端配置指導(dǎo)

1.將SIM卡插入路由器卡槽

2.給設(shè)備上電,登入路由器web頁面(默認(rèn)為192.168.2.1)

3.進(jìn)入網(wǎng)絡(luò)→接口→連鏈路備份界面啟用對(duì)應(yīng)SIM卡并上調(diào)鏈路優(yōu)先級(jí),保存配置

4.對(duì)應(yīng)SIM卡撥號(hào)成功,當(dāng)前鏈路變?yōu)榫G色

5.進(jìn)入網(wǎng)絡(luò)→VPN→IPsec界面進(jìn)行路由器(IPsec VPN客戶端)配置

28.png

29.png

30.png

31.png

保存并應(yīng)用配置后即可進(jìn)入狀態(tài)→VPN頁面看到IPsec VPN狀態(tài)為已連接

32.png

審核編輯(
王靜
)
投訴建議

提交

查看更多評(píng)論
其他資訊

查看更多

礦山邊坡綜合在線監(jiān)測(cè)-全方位解決方案

智慧集中供冷,未來空調(diào)技術(shù)的新趨勢(shì)

智慧養(yǎng)殖遠(yuǎn)程管理在線監(jiān)測(cè)系統(tǒng)解決方案

DTU憑什么可以為數(shù)據(jù)提供穩(wěn)定地傳輸?

光伏系統(tǒng)遠(yuǎn)程維護(hù)解決方案