IPsec 隧道和深信服对接

MQ 路由软件版本:U-Gateway V1.2 (2020/03/25 以后)

应用场景:

                 SSL/PPTP VPN服务端 + IPsec 客户端
                      LAN: 172.16.253.1
                      (MQ路由-R0)
        sslvpn vpn    +- ------+    ipsec 隧道
  分支 ---------------+ 天翼云 + ----- 专线 ------ 总部(深信服 NGAF 7.0)
(MQ路由-R1)          +- -+----+                       XX.YY.0.254
                          |                                |
                          |                       ERP 系统(XX.YY.0.9)
                          | pptp vpn
                        移动端

MQ路由-R0为云端路由,部署在电信天翼云上,通过IPsec 隧道和总部的深信服对接,同时充当 SSL VPN和PPTP VPN服务端

分支机构的路由R1 通过 SSL VPN 接入到路由R0,中转访问总部

移动端手机或PAD 通过 PPTP VPN 拨号到路由R0,中转访问总部

配置步骤如下:

深信服上的配置

第一阶段:

ipsec

第二阶段:

入站策略:添加对端R0路由的LAN字网地址

ipsec

出站策略:添加总部LAN字网地址,如果有多个,可以添加多条策略

ipsec

安全选项:默认即可

ipsec

MQ 路由上的配置

进入应用-》模块-》检查更新,安装 IPsecVPN 模块。

进入网络-》IPSec 隧道,创建连接:

ipsec

ipsec

等待隧道建立连接:

ipsec

ipsec

连接成功后,在深信服也可以看到状态:

ipsec

最后在路由上使用PING测试工具验证下:

ipsec

其他说明

1.标准 IPSEC 不允许连接的双方都是动态 IP ,只能允许其中一方为动态IP

2.一方是公网部署有公网ip,一方是路由部署(前方设备映射的公网ip),必须要使用野蛮模式连接,本文就是这种场景。