IPsec 隧道和深信服对接

MQ 路由软件版本：U-Gateway V1.2 （2020/03/25 以后）

应用场景：

                 SSL/PPTP VPN服务端 + IPsec 客户端
                      LAN: 172.16.253.1
                      （MQ路由-R0）
        sslvpn vpn    +- ------+    ipsec 隧道
  分支 ---------------+ 天翼云 + ----- 专线 ------ 总部（深信服 NGAF 7.0）
（MQ路由-R1)          +- -+----+                       XX.YY.0.254
                          |                                |
                          |                       ERP 系统（XX.YY.0.9）
                          | pptp vpn
                        移动端

MQ路由-R0为云端路由，部署在电信天翼云上，通过IPsec 隧道和总部的深信服对接，同时充当 SSL VPN和PPTP VPN服务端

分支机构的路由R1 通过 SSL VPN 接入到路由R0，中转访问总部

移动端手机或PAD 通过 PPTP VPN 拨号到路由R0，中转访问总部

配置步骤如下：

深信服上的配置

第一阶段：

第二阶段：

入站策略：添加对端R0路由的LAN字网地址

出站策略：添加总部LAN字网地址，如果有多个，可以添加多条策略

安全选项：默认即可

MQ 路由上的配置

进入应用-》模块-》检查更新，安装 IPsecVPN 模块。

进入网络-》IPSec 隧道，创建连接：

等待隧道建立连接：

连接成功后，在深信服也可以看到状态：

最后在路由上使用PING测试工具验证下：

其他说明

1.标准 IPSEC 不允许连接的双方都是动态 IP ，只能允许其中一方为动态IP

2.一方是公网部署有公网ip，一方是路由部署（前方设备映射的公网ip），必须要使用野蛮模式连接，本文就是这种场景。