Я установил двухточечный транспортный сеанс ipsec между маршрутизатором ScreenOS (SSG-5) и Cisco 3925. Сам транспорт ipsec отлично работает, но как только я пытаюсь направить трафик протокола 41 через транспорт, пакеты не Переносит должным образом.
Сначала я предположил, что вам нужно будет создать туннель для подключения ipsec, а затем настроить таргетинг на туннель ip6in4 с исходящим интерфейсом туннеля ipsec, но screenos не позволит вам создать туннель в туннеле.
Кроме того, я попытался использовать VPN на основе политик, но когда я пытаюсь использовать «туннель vpn» в качестве цели политики, он сообщает мне неизвестную команду? Есть ли главный переключатель включения / выключения для ipsec на основе политик?
Ниже я считаю подходящую конфигурацию, хотя я буду более чем счастлив предоставить дополнительную информацию по мере необходимости.
SCREENOS CONFIG:
---------------------------
set zone id 105 "mytunnel_TUNNEL"
set zone "mytunnel_TUNNEL" tcp-rst
set interface "tunnel.5" zone "mytunnel_TUNNEL"
set address "mytunnel_TUNNEL" "fdee:7e1e::/32" fdee:7e1e::/32
set ike gateway "micmplsv4" address 2.2.2.157 Main outgoing-interface "ethernet0/0" preshare "igdZeIcKNobfusol+CQcpIfvwnFwrxb5g==" sec-level compatible
set vpn "mytunnel" gateway "micmplsv4" no-replay transport idletime 0 sec-level compatible
set vpn "mytunnel" monitor optimized rekey
set vpn "mytunnel" id 0x16 bind interface tunnel.3
set vpn "mytunnel" proxy-id check
set vpn "mytunnel" proxy-id local-ip 8.8.8.10/32 remote-ip 2.2.2.157/32 "ANY"
set policy id 137 from "DMZ" to "mytunnel_TUNNEL" "fdbe:a922:a316:2::/64" "fdee:7e1e::/32" "ANY" permit
set policy id 136 from "mytunnel_TUNNEL" to "DMZ" "fdee:7e1e::/32" "fdbe:a922:a316:2::/64" "ANY" permit
set interface "tunnel.3" zone "Untrust"
set interface tunnel.3 ip unnumbered interface ethernet0/0
set vpn "mytunnel" id 0x16 bind interface tunnel.3
set route 2.2.2.157/32 interface tunnel.3
CISCO CONFIG:
------------------------------
ip access-list extended mic2pg
permit ip host 2.2.2.157 host 8.8.8.10
!
crypto ipsec transform-set transport-esp-3des-sha esp-3des esp-sha-hmac
mode transport
!
crypto map vpnmap 30 ipsec-isakmp
set peer 8.8.8.10
set transform-set transport-esp-3des-sha
match address mic2pg
!
interface GigabitEthernet0/0.1
encapsulation dot1Q 1 native
ip address 2.2.2.157 255.255.255.224
crypto map vpnmap
!
interface Tunnel3
no ip address
ipv6 address FDEE:7E1E:100:F002::1/64
ipv6 enable
tunnel source 2.2.2.157
tunnel mode ipv6ip
tunnel destination 8.8.8.10
!
end
Я сделал множество IPv6 на ScreenOS. И родно и туннели. Я сделал именно то, о чем вы спрашиваете (хотя и не с Cisco на другом конце). Вот что надо делать.
Избавьтесь от вещей «6 на 4». Используйте только один туннельный интерфейс и отключите proxy-id с обеих сторон. Создайте туннель с конечными точками v4, затем направьте удаленный префикс v6, а также удаленный префикс v4 на интерфейс туннеля.
Обновить: По запросу, например config.
Ноты:
.
set interface ethernet0/0 zone Untrust
set interface ethernet0/0 ip 5.6.7.8/27
set interface ethernet0/0 route
set interface ethernet0/2 zone Trust
set interface ethernet0/2 ip 192.168.10.1/24
set interface ethernet0/2 route
set interface ethernet0/2 ipv6 mode router
set interface ethernet0/2 ipv6 enable
set interface ethernet0/2 ipv6 ip fd28:e1f3:d650:1010::/64
set interface ethernet0/2 ipv6 nd nud
set interface ethernet0/2 ipv6 ra link-address
set interface ethernet0/2 ipv6 ra link-mtu
set interface ethernet0/2 ipv6 ra managed
set interface ethernet0/2 ipv6 ra other
set interface ethernet0/2 ipv6 ra preference high
set interface ethernet0/2 ipv6 ra prefix fd28:e1f3:d650:1010::/64
set interface ethernet0/2 ipv6 ra reachable-time
set interface ethernet0/2 ipv6 ra retransmit-time
set interface ethernet0/2 ipv6 ra transmit
set zone name v6remote
set interface tunnel.20 ip unnumbered interface ethernet0/0
set interface tunnel.20 zone v6remote
set interface tunnel.20 ipv6 mode host
set interface tunnel.20 ipv6 enable
set interface tunnel.20 ipv6 nd dad-count 0
set interface tunnel.20 ipv6 nd nud
set ike p1-proposal AES256-SHA preshare group2 esp aes256 sha-1 second 28800
set ike p2-proposal AES256-SHA group2 esp aes256 sha-1 second 3600
set ike gateway gateway2v6remote address 10.255.255.1 Main outgoing-interface ethernet0/0 preshare "secret-word" proposal AES256-SHA
set vpn tunnel2v6remote gateway gateway2v6remote replay tunnel idletime 0 proposal AES256-SHA
set vpn tunnel2v6remote bind interface tunnel.20
set policy from v6remote to trust v6remote v6local ANY permit log count
set policy from trust to v6remote v6local v6remote ANY permit log count
set route fd28:e1f3:d650:2000::/56 interface tunnel.20 gateway ::
Я знаю, что в ScreenOS есть проблема с маршрутизацией трафика 6in4 напрямую. Обычно люди создают интерфейс обратной связи для завершения туннеля 6in4, а затем маршрутизируют трафик IPv6 через него. Я использую аналогичную конфигурацию для своего туннеля 6in4 с Sixx, но я думаю, что общий принцип может быть применим и к вашему случаю. пожалуйста, проверьте эта ссылка для получения дополнительной информации, особенно в части «Обновление от 13 сентября 2009 г.».