第 5 章 IPsec 隧道

iRouter 路由作为 IPsec 客户端,和深信服 NGAF 服务端对接。

网络拓扑


800

iRouter 路由-R0为云端路由,部署在电信天翼云上,通过IPsec 隧道和总部的深信服对接,同时充当 SSL VPN和PPTP VPN服务端

分支机构的路由R1 通过 SSL VPN 接入到路由R0,中转访问总部。

移动端手机或PAD 通过 PPTP VPN 拨号到路由R0,中转访问总部。

深信服上的配置


1. 第一阶段:

2. 第二阶段:

入站策略:添加对端R0路由的LAN字网地址

出站策略:添加总部LAN字网地址,如果有多个,可以添加多条策略

3.安全选项:默认即可

路由上的配置


进入应用-》模块-》检查更新,安装 IPsecVPN 模块。

进入网络-》IPSec 隧道,创建连接:

等待隧道建立连接:

连接成功后,在深信服也可以看到状态:

最后在路由上使用PING测试工具验证下:

其他说明


1.标准 IPSEC 不允许连接的双方都是动态 IP ,只能允许其中一方为动态IP

2.一方是公网部署有公网ip,一方是路由部署(前方设备映射的公网ip),必须要使用野蛮模式连接,本文就是这种场景。

IPsec 隧道和华为对接

iRouter 路由作为 IPsec 客户端,和华为服务端对接。

iRouter 上的设置

伪装内网IP PING 对方内网IP: