ScreenOS ip6in4 túnel sobre el modo de transporte ipsec?

He configurado una session de ipsec de transporte punto a punto entre un enrutador ScreenOS (SSG-5) y un Cisco 3925. El transporte ipsec en sí funciona muy bien, pero tan pronto como bash dirigir el protocolo 41 de tráfico a través del transporte, los packages don 'tránsito de t correctamente.

Asumí al principio que usted necesitaría crear un túnel para la connection del ipsec, después apuntar el túnel del ip6in4 con la interfaz saliente del túnel del ipsec, pero screenos no le dejará crear un túnel en un túnel.

Además, he intentado usar un vpn basada en políticas, pero cuando bash utilizar "vpn túnel" como un objective de la política me dice command desconocido? ¿Existe un interruptor maestro de encendido / apagado para el ipsec basado en políticas?

A continuación es lo que creo que es la configuration pertinente, aunque voy a ser más que feliz de proporcionar más información según sea necesario.

SCREENOS CONFIG: --------------------------- set zone id 105 "mytunnel_TUNNEL" set zone "mytunnel_TUNNEL" tcp-rst set interface "tunnel.5" zone "mytunnel_TUNNEL" set address "mytunnel_TUNNEL" "fdee:7e1e::/32" fdee:7e1e::/32 set ike gateway "micmplsv4" address 2.2.2.157 Main outgoing-interface "ethernet0/0" preshare "igdZeIcKNobfusol+CQcpIfvwnFwrxb5g==" sec-level compatible set vpn "mytunnel" gateway "micmplsv4" no-replay transport idletime 0 sec-level compatible set vpn "mytunnel" monitor optimized rekey set vpn "mytunnel" id 0x16 bind interface tunnel.3 set vpn "mytunnel" proxy-id check set vpn "mytunnel" proxy-id local-ip 8.8.8.10/32 remote-ip 2.2.2.157/32 "ANY" set policy id 137 from "DMZ" to "mytunnel_TUNNEL" "fdbe:a922:a316:2::/64" "fdee:7e1e::/32" "ANY" permit set policy id 136 from "mytunnel_TUNNEL" to "DMZ" "fdee:7e1e::/32" "fdbe:a922:a316:2::/64" "ANY" permit set interface "tunnel.3" zone "Untrust" set interface tunnel.3 ip unnumbenetworking interface ethernet0/0 set vpn "mytunnel" id 0x16 bind interface tunnel.3 set route 2.2.2.157/32 interface tunnel.3 CISCO CONFIG: ------------------------------ ip access-list extended mic2pg permit ip host 2.2.2.157 host 8.8.8.10 ! crypto ipsec transform-set transport-esp-3des-sha esp-3des esp-sha-hmac mode transport ! crypto map vpnmap 30 ipsec-isakmp set peer 8.8.8.10 set transform-set transport-esp-3des-sha match address mic2pg ! interface GigabitEthernet0/0.1 encapsulation dot1Q 1 native ip address 2.2.2.157 255.255.255.224 crypto map vpnmap ! interface Tunnel3 no ip address ipv6 address FDEE:7E1E:100:F002::1/64 ipv6 enable tunnel source 2.2.2.157 tunnel mode ipv6ip tunnel destination 8.8.8.10 ! end 

2 Solutions collect form web for “ScreenOS ip6in4 túnel sobre el modo de transporte ipsec?”

He hecho toneladas de IPv6 en ScreenOS. Tanto nativamente y túneles. He hecho exactamente lo que estás preguntando (aunque, no con un Cisco en el otro extremo). Esto es lo que debe hacer.

Deshágase de las cosas 6in4. Utilice sólo una interfaz de túnel y desactive el proxy-id en ambos lados. Construya el túnel con puntos finales v4 y luego enrute el prefijo v6 remoto así como el prefijo v4 remoto a la interfaz del túnel.

Actualización: Según lo solicitado, ejemplo de configuration.

Notas:

  • Local v6 supernet es fd28: e1f3: d650: 1000 :: / 56
  • Remoto v6 supernet es fd28: e1f3: d650: 2000 :: / 56
  • Las porciones significativas de v4 se han dejado hacia fuera porque pienso que usted lo consigue.

.

 set interface ethernet0/0 zone Untrust set interface ethernet0/0 ip 5.6.7.8/27 set interface ethernet0/0 route set interface ethernet0/2 zone Trust set interface ethernet0/2 ip 192.168.10.1/24 set interface ethernet0/2 route set interface ethernet0/2 ipv6 mode router set interface ethernet0/2 ipv6 enable set interface ethernet0/2 ipv6 ip fd28:e1f3:d650:1010::/64 set interface ethernet0/2 ipv6 nd nud set interface ethernet0/2 ipv6 ra link-address set interface ethernet0/2 ipv6 ra link-mtu set interface ethernet0/2 ipv6 ra managed set interface ethernet0/2 ipv6 ra other set interface ethernet0/2 ipv6 ra preference high set interface ethernet0/2 ipv6 ra prefix fd28:e1f3:d650:1010::/64 set interface ethernet0/2 ipv6 ra reachable-time set interface ethernet0/2 ipv6 ra retransmit-time set interface ethernet0/2 ipv6 ra transmit set zone name v6remote set interface tunnel.20 ip unnumbenetworking interface ethernet0/0 set interface tunnel.20 zone v6remote set interface tunnel.20 ipv6 mode host set interface tunnel.20 ipv6 enable set interface tunnel.20 ipv6 nd dad-count 0 set interface tunnel.20 ipv6 nd nud set ike p1-proposal AES256-SHA preshare group2 esp aes256 sha-1 second 28800 set ike p2-proposal AES256-SHA group2 esp aes256 sha-1 second 3600 set ike gateway gateway2v6remote address 10.255.255.1 Main outgoing-interface ethernet0/0 preshare "secret-word" proposal AES256-SHA set vpn tunnel2v6remote gateway gateway2v6remote replay tunnel idletime 0 proposal AES256-SHA set vpn tunnel2v6remote bind interface tunnel.20 set policy from v6remote to trust v6remote v6local ANY permit log count set policy from trust to v6remote v6local v6remote ANY permit log count set route fd28:e1f3:d650:2000::/56 interface tunnel.20 gateway :: 

Sé que hay un problema en ScreenOS con routing de tráfico 6in4 directamente. Lo que la gente suele hacer es crear una interfaz de loopback para terminar el túnel 6in4 y luego enrutar el tráfico IPv6 a través de él. Utilizo la configuration similar para mi túnel 6in4 con los seisxs, pero pienso que el principio general puede ser aplicable a su caso también. Por favor, consulte este enlace para get más información, especialmente "Update sept 13, 2009" parte.

  • ¿Cuáles son las diferencias de nivel de protocolo exactas entre SSL y TLS?
  • Https túnel para el transporte de packages TCP y UDP
  • Enrutamiento de todos los datos a través de un túnel VPN con ppp
  • L2TP / IPsec a través del puerto HTTP 80
  • Problemas con el túnel SSH desde la configuration del acceso a la key pública
  • Túnel sólo un progtwig (UDP y TCP) a través de otro server
  • Compatibilidad con IIS 6 para túneles IP
  • Tunelling sobre HTTP
  • Túnel sobre server HTTP
  • Conexión SSH rechazada en un puerto inusual
  • Hacer lan ip está disponible para dispositivos externos sobre openvpn
  • Cómo navegar a un server web que se puede acceder a través del puerto SSH sólo
  • ¿Cómo solucionar una list blanca de IP al consumir una API de terceros?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.