一直不是太明白ipsec的防火墙策略
1690384728,
问题描述:
需要放通untrust_trust的感兴趣流流量,这个放行后,ike sa是能建立的,还需要放行local_untrust的双向,ipsec sa才能建立成功,求其中内在的原理!
组网及组网描述:
untrust和local互相放通 目的端口udp500和4500建立隧道,trust和untrust、untrust和trust放通感兴趣流量
回答你看,在做IPSec vpn 配置的时候,需要你指定对方的防火墙接口地址,也就是说实际上流量从本段到对端的流量,对于对方来说就是untrust 到local 的流量,同理,本段也要到对端,就是local 到untrust 的流量,这样你就能理解了吧
防火墙接口地址不就是untrust区域的吗,接口在untrust
不能这样理解的,untrust 只是你定义的一个区域,实际你配置的IP地址 还是在防火墙上,你可以尝试一下,不放通 untrsut 到local 的你是ping 不通的
如果按照你的想法来说接口地址是untrust ,那从公网ping 他的地址是untrsut 到untrust 了,但是他ping 不通吧
你正在内容来源:知了社区,一直不是太明白ipsec的防火墙策略
