在51cto买了个4元的便宜课《IPsec 虚拟专用网络 原理与实战视频课程》,学习到了这种VPN的,虽然在渗透过程用处不够大,但还是记录一下。

我们实战渗透过程中,更加喜欢那种只在一个路由器配置就可以了的VPN搭建方式。这种site to site就是浪费我们的时间啊,而且你还要有两端的路由器密码,这不是提升我们的渗透难度么?

想学网络的朋友,可以看看锐捷系列。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
公网地址固定的时候用这个:

总公司:
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash sha //md5
group 2
exit
crypto isakmp key 0(0是明文) 123456(这是pre_share_key) address 2.2.2.1(这是对端的路由IP路由)

数据加密:(转换集)
crypto ipsec transform-set gts(转换集名字) esp-3des esp-sha

定义感兴趣的流量:
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255//允许1段到2段,1段是源,2是目的地段

定义加密映射:
crypto map to_R3(映射表名字) ipsec-isakmp
match address 100(访问控制列表号)
set transfor-set gts(转换集名字)
set peer 2.2.2.1
exit

应用到接口:
interface e0/1
crypto map to_R3

分公司路由配置:
跟总公司配置大体一致,但是相关ip要换成对端的。