1689347920,

问题描述：

防火墙做ipsec，需要放通哪些区域的哪些流量呢，我做了实验，可是一直不成功，求大家帮忙看看！

组网及组网描述：

3小时前提问

防火墙做IPSec VPN时，需要放通以下几种流量：

IKE协商报文，使用UDP报文封装，端口号为500或4500（如果开启了NAT穿越功能）123 IPSec加密报文，使用ESP或AH协议封装，协议号为50或51123 IPSec解密后的原始报文，根据业务需求确定源地址、目的地址和服务123

你需要在防火墙上配置相应的安全策略，允许这些流量通过。具体的配置方法和步骤，取决于你的防火墙的品牌和型号，以及你的网络拓扑和需求。

如果你使用的是华为防火墙，你可以参考以下链接：

1: 如何为IPSec VPN开放安全策略 - 华为防火墙 安全策略精要 - 华为 2: 华为防火墙与H3C防火墙在NAT穿越场景下建立IPSec隧道 - 华为USG系列防火墙 VPN对接配置指南 - 华为 3: IPSec配置 - AR100, AR1

如果你使用的是其他品牌或型号的防火墙，你可以在搜索框中输入相应的关键词，查找更多相关的信息。

2小时前回答

正常就是trust和untrust相互，local和untrust相互，你这个安全策略看着没啥问题，建议检查下其他配置

2小时前回答

如果是这样，防火墙岂不是基本属于全放通状态 了？

想明细的话可以按你配置里面的rule 0 多匹配一些源、目的地址参数

重生之捞鱼

你正在内容来源：知了社区,防火墙ipsec