前面发布了几个问题都是问为何IPsec VPN 建立起来了但是两边的内网IP还是无法互通,得到的答案都是要在NAT用ACL拒绝IPsec流量,我知道这也许是正确的处理方式,但是大神们,能给个详细的操作步骤吗?最好是图形界面的,我看不懂命令,拜托了,就差这最后一步了
(0)
最佳答案
在配置IPSEC VPN时需要注意外网口配置地址转换时一定要排除掉VPN的感兴趣流,因为NAT转换在接口出方向优先于IPSEC策略,如果不修改会导致数据先经过NAT地址转换后无法匹配兴趣流。
在“对象”>“ACL”>“IPv4”中点击新建按钮。
#在“类型”中选择高级ACL,ACL编号输入3999。
#以总部防火墙为例,动作选择拒绝,IP协议类型选择拒绝,匹配条件匹配总部侧内网到分部侧内网的网段(在分部侧防火墙匹配条件取反)后点击确定添加下一条策略。
#不需要改变此页面配置,可以直接点击确定按钮。当有多个网段访问VPN的需求时,需要先添加拒绝的策略,再添加全部允许的策略。
#在“策略”>“NAT”>“NAT动态转换”>“策略配置”中点击新建按钮。接口选择外网接口,ACL选择之前创建的3999,转换后地址选择接口IP地址。
注意:如果配置策略中已经存在动态转换策略,请在此策略的基础上添加或者更换ACL选项。该操作可能导致断网请谨慎操作。
在设备右上角选择“保存”选项,点击“是”完成配置。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论