在51cto买了个4元的便宜课《IPsec 虚拟专用网络 原理与实战视频课程》,学习到了这种VPN的,虽然在渗透过程用处不够大,但还是记录一下。

我们实战渗透过程中,更加喜欢那种只在一个路由器配置就可以了的VPN搭建方式。这种site to site就是浪费我们的时间啊,而且你还要有两端的路由器密码,这不是提升我们的渗透难度么?

想学网络的朋友,可以看看锐捷系列,这给出的是 GRE隧道实现VPN https://www.jianshu.com/p/873f44baa9f3

公网地址固定的时候用这个:

总公司:
crypto isakmp policy 1
    encryption 3des
    authentication pre-share
    hash sha   //md5
    group 2
    exit
crypto isakmp key 0(0是明文) 123456(这是pre_share_key) address 2.2.2.1(这是对端的路由IP路由)

 数据加密:(转换集)
crypto ipsec transform-set gts(转换集名字) esp-3des esp-sha

 定义感兴趣的流量:
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255//允许1段到2段,1段是源,2是目的地段

 定义加密映射:
crypto map to_R3(映射表名字) ipsec-isakmp
    match address 100(访问控制列表号)  
    set transfor-set gts(转换集名字)
    set peer 2.2.2.1
    exit

应用到接口:
interface e0/1
    crypto map to_R3

分公司路由配置:
跟总公司配置大体一致,但是相关ip要换成对端的。

发表评论

电子邮件地址不会被公开。 必填项已用*标注