41.3. IPSec_VPN 的设置

IPSec_VPN 的配置分为三步:

  1. 在两端路由器上设置静态路由。

  2. 在两端路由器上设置IPSec VPN服务。

  3. 在两端路由器上设置No NAT规则。

[警告] 警告

本地和远程两端的局域网段不能相同,不然运行后会导致两端主机都无法正常上网。

下面介绍企业总部和分公司办事处路由端 IPSec_VPN 的详细设置。

  1. 首先进入路由Web管理页面,“网络设置”->“静态路由”,启用静态路由功能,点击新增。这里的目的网络填写远程局域网的网络号和子网掩码,出口网关勾选自动。

    总部静态路由设置

    图 41.2. 总部静态路由设置


    分公司静态路由设置

    图 41.3. 分公司静态路由设置


  2. 接下来设置IPSec VPN,进入“服务应用”->“IPSec VPN 服务”,勾选 启用 IPSec VPN 服务,点击新增隧道,如图:

    启用 IPSec VPN 服务

    图 41.4. 启用 IPSec VPN 服务


    填写名称、远程IP地址、本地局域网段和子网掩码、远程局域网段和子网掩码。模式一般选用Aggresive,根据传递数据的重要性选择不同的加密验证算法,两端的路由都填写相同的共享密钥和DPD 检测间隔。如下图:

    企业总部 IPSec VPN 设置

    图 41.5. 企业总部 IPSec VPN 设置


    分公司 IPSec VPN 设置

    图 41.6. 分公司 IPSec VPN 设置


    [提示] 小技巧

    如果对方路由为动态IP的话,您只需要在本地路由上设置 动态域名解析 ,然后将此域名填入上图的 远程IP 内。

  3. 最后设置No NAT,进入“防火墙”->“NAT 策略”->“No NAT 规则”,勾选启用 No NAT 功能,点击新增规则,进入设置页面。

    启用 No NAT

    图 41.7. 启用 No NAT


    填写本地局域网段的网络号和子网掩码,远程局域网的网络号和子网掩码,保存设置即可。

    总部 No NAT 设置

    图 41.8. 总部 No NAT 设置


    分公司 No NAT 设置

    图 41.9. 分公司 No NAT 设置