本教程尽量做到简洁明了,我加标记的地方请各位要特别留意。。。。
之前在网上看的几个教程有的并不是那么详细。。。有的设置缺少重要环节。。。。
先上个实验拓扑:
拓扑: 10.0.0.25--服务器1--10.0.0.21--R1--192.168.1.21--互联网--192.168.1.22--R2--172.16.1.22--服务器2--172.16.1.25
一、实验环境是虚拟机7.1.3+Routeros3.2.0版本+俩台Ubuntu(作为那俩台服务器,也可以用其它操作系统代替)
二、首先配置各个设配的IP这里我不赘述,网卡的名称及其在虚拟机上的摆放位置要和拓扑一致,方便的操作。。。
三、开始配置
(R1的配置)
1.配置R1的ip及网卡名称
2.配置ip隧道 interface ->IpTunnel(这里不要忘记)
给隧道起个名字ipip1.Local Address位置填上R1外网接口inter1地址192.168.1.21
Remote Address填R2外网接口inter2地址192.168.1.22
3.配置路由(配完总共为3条路由:2条直连路由,一条隧道路由)
这里配的是去往对端172.16.0.0/16网段的路由。。。出接口是前面配置的ip隧道虚接口,Gateway填R1 路由下一跳地址192.168.1.22(直接填上接口,路由表中会显示接口为不活动状态,加上这个路由就会立即变成活动状态)
3.ipsec配置 ip->ipsec
先配置policies,这里是源地址为本地内网网段,目标地址为远端内网网段(这里可不要填成32位地址了)
再配Proposals(也就是协商和加密的相关属性)这里在Auth上多加了一个md5验证。后面配置R2的时候也要加上。。。要不然协商不过去。。。
之后是对等体peer的配置:
Address位置填写远端外网网口地址(inter2)
把nat穿越选上,配上密码123
=======================================================================
(R2的配置)
1.配置R2的ip及网卡名称
2.配置ip隧道 interface ->IpTunnel(这步不要漏了)
给隧道起个名字ipip2.Local Address位置填上R2外网接口inter1地址192.168.1.22
Remote Address填R1外网接口inter1地址192.168.1.21
3.配置路由(配完总共为3条路由:2条直连路由,一条隧道路由)
这里配的是去往对端10.0.0.0/8内弯网段的路由。。。出接口是前面配置的ip隧道虚接口,Gateway填R2 路由下一跳地址192.168.1.21(直接填上接口,路由不能被激活,加上这个路由就会立即变成活动状态)
3.ipsec配置 ip->ipsec
先配置policies,这里源地址为本地内网网段,目标地址为远端内网网段(这里可不要填成32位地址了)
Action配置:(有为朋友按照我原来的教程配置出现的错误,因为没有配置SA验证,不配置这里是会报错的,报错的提示和实际错误是不相符的,大致意思是要使用32为的地址,其实不然,而是要勾选Tunel隧道,上面也是要加这个sa验证,地址相反,我就不贴图了,请配置的时候多加留意)
之后是对等体peer的配置:
Address位置填写远端外网网口地址(inter1)
把nat穿越选上,配上密码123
防火前部分试验阶段可以不配,但是实际环境必须加上。。。如哪位兄弟没加下面俩条策略实验失败的,加上再试试。。。我这里给它disable掉了
R1 firewall配置
下面是站点间内网可以互访
PNAT配置,用来让内网用户可以共享一个外网地址上网的
下面是r2 firewall的相关配置截图
最后给俩边服务器配置地址,和网关
ser1 网关为10.0.0.21 ser2网关为172.16.1.22
配错了主机就不知道网哪走了哦
成功之后用ser1 ping ser2
刚开始隧道还未建立,所以有一跳会timeout
随后你将发现下图位置remote peer建立的链接(之前可是没有的,必须触发才会建立隧道)
好了,,,有什么问题可以企鹅咨询168162796
做个小总结:几个重要的地方一个是:ip隧道不能忘记配置,第二:虚拟路由的配置,出口网关要填写隧道的出口地址,有的教程直接给的接口,导致路由不生效的问题,可能是bug。。。第三一个:sa认证必须填写。。。。