F5无法透传IPSecVPN的问题

jiangyi_digital

前期背景
1、现总部的PIX防火墙对内网上网用户做了NAT转换，统一转换为218.28.37.51
2、现总部的防火墙和分公司的PIX防火墙通过网通链路建立site to site的IPSECVPN互联。两端使用的地址均为公网IP地址 218.28.6.85和218.28.37.51。实际LC上线后，也是通过网通链路建立VPN
F5 LC上线后
1、LC不配置任何NAT转换，总部PIX防火墙带着公网地址出去，网关指向F5：218.28.37.52
2、F5内网口和网通链路接口同属一个VLAN： both_line ，IP为218.28.37.52
3、在透传VPN的配置上，配置了 performance L4 VS,VS地址和pool地址都是 218.28.37.51。也不配置NAT转换。Fast L4 profile打开Loose close和Loose Initial
故障问题
1、两台PIX防火墙无法透过F5建立VPN。通过在F5上Tcpdump抓包，发现持续显示如下信息：
[root@f5:Active] config # tcpdump  -i both_line host 218.28.6.85
tcpdump: listening on both_line
22:59:55.509301 218.28.37.51.isakmp > 218.28.6.85.isakmp: isakmp: phase 1 I ident
22:59:55.509310 218.28.37.52.isakmp > 218.28.6.85.isakmp: isakmp: phase 1 ? ident
22:59:55.514425 218.28.6.85.isakmp > 218.28.37.52.isakmp: isakmp: phase 1 R ident
22:59:55.514431 218.28.6.85.isakmp > 218.28.37.51.isakmp: isakmp: phase 1 R ident

显示是IPSec第一阶段没有建立成功，但是为什么会有以上黑体字显示的的条目呢？218.28.37.52是F5的地址，为什么会有分公司PIX和F5的连接过程呢？

jiangyi_digital

回复 1# jiangyi_digital


    拓扑见附件

jiangyi_digital

回复 1# jiangyi_digital


    拓扑见附件

jiangyi_digital

回复 3# jiangyi_digital
配置
pool vpn_pix {
   monitor all gateway_icmp
   members 218.28.37.51:any
}
virtual vpn_forwading_ip {
   translate address disable
   pool vpn_pix
   destination 218.28.37.51:any
}

jiangyi_digital

回复 3# jiangyi_digital
配置
pool vpn_pix {
   monitor all gateway_icmp
   members 218.28.37.51:any
}
virtual vpn_forwading_ip {
   translate address disable
   pool vpn_pix
   destination 218.28.37.51:any
}

jiangyi_digital

回复 5# jiangyi_digital

mycisco

F5内网口和网通链路接口同属一个VLAN
既然同属于一个VLAN，为何还要配置那个vs，分公司此时可以直接连到.51，只是51回去的时候网关指向了F5,此时在F5上只需保证从一个透明或者forwarding的vs出去就可以了。

weiweilao

恩，那就是将performance L4vs，换成forwading ip vs是吧？
我到时候再试一下。
但是林总，为什么会有这两条信息还是奇怪啊？
22:59:55.509310 218.28.37.52.isakmp > 218.28.6.85.isakmp: isakmp: phase 1 ? ident
22:59:55.514425 218.28.6.85.isakmp > 218.28.37.52.isakmp: isakmp: phase 1 R ident

coolang

回复 8# weiweilao


华3的ipsec vpn的建立信息吧！