联想网御Power V系列配置案例集15(IPSEC VPN 网关-网关（穿越NAT)环境配置案例）

15.1 网络需求

某企业用户，两个分部需要互相访问对方内部网络的服务器，通过网关到网关的ipsec隧道，使得用户192.168.83.0/24和192.168.82.0/24可以互相访问资源，但是两台网关设备分别处于路由器后方，没有公网地址。

15.2 网络拓扑

路由器1：内网地址192.168.1.2，外口地址为211.211.211.211 防火墙1：内网地址192.168.83.207 ，外网地址192.168.1.1 内部保护子网A为192.168.83.0/24

路由器2：内网地址192.168.0.2 ，外网地址为210.210.210.210 防火墙2：内网地址192.168.82.207 ，外网地址192.168.0.1 内部保护子网B为192.168.82.0/24

15.3 配置流程

由于防火墙在路由设备后方，没有公网地址，首先在路由器1和路由器2分别给他们内部的防火墙做nat，允许防火墙上网。其次，路由器还需要给防火墙开启端口映射，端口为UDP500和UDP4500，允许外网的VPN能够连接到路由器内部的防火墙上。

（1）配置防火墙1 网络环境

（2）配置防火墙1 IPSEC----VPN规则，确定本地保护子网和对端保护子网地址 （3）配置防火墙1的IKE配置，确定对端网关地址，认证方式，隧道模式，以及算法

（4）配置防火墙1的网关隧道配置，确定本地出口

（5）隧道监控—启动隧道

15.4 配置步骤

路由器配置需要用户自己完成。 （1）配置防火墙1 接口地址

进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址。

（2）配置防火墙1 IPSEC---VPN规则

进入【VPN】-【IPSec】-【VPN规则】-添加，设置本地保护子网为192.168.83.0/24，对端保护子网为192.168.82.0/24。

设置本地保护子网为192.168.83.0/24，对端保护子网为192.168.82.0/24。防火墙2的本地和对端与防火墙1相反。 （3）配置防火墙1的IKE配置

进入【VPN】-【IPSec】-【IKE配置】-添加

这里的对端地址，是对端网络公网地址，即对端防火墙的映射地址。预共享密钥和协商模式必须与防火墙2设置相同。如果选择野蛮模式，务必设置ID。 （4）配置防火墙1的网关隧道配置

进入【VPN】-【IPSec】-【网关隧道配置】-添加

这里选择外网口为VPN接口，完美向前保密必须和防火墙2设置相同。缺省策略尽量选择允许，如果选择包过滤需要单独到防火墙策略页面加安全策略（双向放通）。

（5）隧道监控—启动隧道

配置防火墙2，步骤如上，注意点：防火墙2 的对端网关

为路由器1的地址，本地保护子网与防火墙1相反，其他认证信息等与防火墙1相同。