跳轉到

Site-to-Site VPN

把兩個(或多個)據點的網路,透過加密隧道連起來,像在同一個內網。Check Point 用 VPN Community 的概念來組織這些隧道。

核心概念:VPN Community

不像有些設備一條條建隧道,Check Point 把參與 VPN 的 Gateway 放進一個 Community,由 Community 統一定義加密參數與拓樸。

兩種拓樸:

拓樸 說明 適用
Meshed 每個成員彼此都建立隧道 各據點需互通
Star 中心(Center)與分支(Satellite),分支只連中心 總部 ↔ 多分點 
graph TD
    subgraph Star 拓樸
    HQ[總部 Center] --- A[分點 A]
    HQ --- B[分點 B]
    HQ --- C[分點 C]
    end

VPN Domain(加密網域)

每個 Gateway 有一個 VPN Domain —— 定義「哪些內網網段要走這條 VPN」。對方 Gateway 看到目的地落在你的 VPN Domain,就會把流量加密送過來。

  • 預設可用 Gateway 介面後面的網段自動計算。
  • 也可手動指定一個群組物件,精準控制。

VPN Domain 重疊是常見災難

兩端 VPN Domain 設定不一致、或與實際路由衝突,會導致流量不進隧道或繞錯邊。設定前先把「兩邊各自要加密的網段」列清楚。

加密參數:IKE Phase 1 / Phase 2

隧道協商分兩階段:

  • Phase 1(IKE SA):建立管理通道,雙方認證(憑證或 Pre-Shared Key)+ 協商加密。
  • Phase 2(IPsec SA):在 Phase 1 的保護下,協商實際資料加密用的金鑰。

兩端的加密演算法、DH Group、生命週期必須相容,否則協商失敗。

官方預設值(R81.20):

項目 Phase 1(IKE SA) Phase 2(IPsec SA)
加密 AES-256(預設) AES-128(預設)、可選 AES-GCM
完整性 / 雜湊 SHA1(預設)、可選 SHA-256/384/512 同 Phase 1
DH Group Group 2 (1024)(預設) PFS 啟用時預設 Group 2
生命週期 約每天一次重協商 約每小時一次

別再用過時演算法

DES / 3DES / MD5 / DH Group 1,2,5 官方已標示為棄用(deprecated)、僅向後相容。新建議用 AES-GCM + SHA-256 以上 + DH Group 14/19/20

  • PFS(Perfect Forward Secrecy):啟用後 Phase 2 每次都產生全新 DH 金鑰,安全性更高。
  • IKEv2:在 Simplified Mode 的 Community 內逐 Community 設定;IPv6 流量一律自動使用 IKEv2

認證方式

  • Pre-Shared Key(PSK):簡單,兩端設同一組密鑰;適合少量隧道。
  • Certificate:用憑證認證,較安全、好擴展;Check Point 之間可用各自 ICA 互信。
  • 與第三方廠牌(Cisco、Fortinet 等)互連時,特別注意參數逐項對齊。

設定流程(概要)

  1. 兩端 Gateway 都啟用 IPsec VPN Blade。
  2. 建立 VPN Community(選 Meshed / Star),加入成員。
  3. 設定各成員的 VPN Domain
  4. 設定 加密參數(Phase 1 / 2)與認證方式。
  5. 在 Access Control 規則允許要走 VPN 的流量(VPN 欄位指定該 Community)。
  6. Install Policy。

驗證與排錯

# 互動式 VPN 隧道工具:看 / 刪 SA
vpn tu
#   常用:列出 IKE SA、刪除特定 peer 的 SA 重新協商

# IKE 協商 debug(排錯神器)
vpn debug ikeon
#   ... 觸發連線 ...
vpn debug ikeoff
#   IKEv1 → $FWDIR/log/ike.elg;IKEv2 → $FWDIR/log/ikev2.xmll(用 IKEView 工具開)

# 看隧道狀態
vpn tunnelutil

隧道建不起來,先看 Phase 卡在哪

ike.elg 會顯示協商停在 Phase 1 還是 Phase 2。卡 Phase 1 通常是認證 / 加密參數不合;卡 Phase 2 多半是 VPN Domain / Proxy-ID(加密網段)對不上。

版本提醒

Community 化的 Site-to-Site 架構在 R81.10 ~ R82.10 一致。新版對 IKEv2、AES-GCM、以及大量隧道的效能持續優化;與第三方互連時,越新版本的演算法相容性越好。

小結

  • VPN Community(Meshed / Star)組織站對站隧道。
  • VPN Domain 定義哪些網段走 VPN,兩端要一致。
  • 協商分 Phase 1(IKE)/ Phase 2(IPsec),參數須相容。
  • 排錯用 vpn tu 看 SA、vpn debug ikeonike.elg