比如北京分公司是分支机构,要和上海总部建立ipsec vpn,实现两边的公司内网能够通过ipsec vpn通信。
由于两边的隧道端点都是深信服的vpn设备,那么搭建就非常容易。
1.在北京这边发起连接:
总部名称自己定义即可,主webagent是上海vpn暴露在公网的地址,在基本设置进行配置:
数据加密密钥的密码可以不填,系统应该会自动协商加密的密码。下面的用户名和密码是分支作为一个用户去总部注册,所用的用户和密码。需要在上海的vpn站点去设置:
北京这边用上海设置好的用户发起连接,ipsec 隧道就可以建立了:
这时候隧道虽然建立了,但是两边的网络却还是不能互通,北京这边的地址是172.25.9.23,上海那边的地址是172.30.66.132,从北京ping上海
可以看到收到172.19.80.253(这个是北京vpn的内网地址)回复ttl变成0的通知。
这种情况说明网络里出现了环路,原因就是这个数据包到了北京的vpn上,vpn不知道要把数据包发送到哪个隧道里,只能扔给网关,网关又写了条静态路由指向vpn,这样ttl就会变成0。
这时候就要在vpn上配置本地子网,配置了本地子网的意思就是通告路由给对面的站点。
在北京:
在上海同样添加172.30.0.0/16的本地子网,这时候就可以正常通信了
,