网络环境:
飞塔端有静态IP,Vigor端是动态IP接入
飞塔端LAN网段10.3.100.0/24
Vigor端网段192.168.188.0/24
飞塔端设定:
首先,点击IPSec向导,选择“自定义”,并点击“下一个”
然后用户名(配置档名)设置一个方便自己记忆的,例如这里我用了vigoripsec188,是指给vigor的192.168.188.0网段连过来的配置档
由于对端非静态IP用户,所以选择了“拨号用户”,接口选择飞塔的WAN接口
NAT穿越选择“启用”
对等体检测选择“按需”
认证方法选择“预共享秘钥”
不启用IPSec接口模式
设定预共享秘钥,IKE选择1版本
模式选择“野蛮”
对等体选项选择“Specific peer ID”,ID设定为vigor2922_188(注意,在随后的vigor设定中,要在高级设定中将自己的本地ID设置为这个值,这样才能匹配)
阶段一Proposal如图所示,注意Diffie-Hellman组要勾选组1,因为Vigor的默认DH组是1,否则会拨不上
XAUTH请禁用
阶段2,配置本地网段和Vigor端网段(请注意IPSec会校验网段,所以务必确保vigor端网段设置和飞塔端设置的IP段相同,只是调换本地和远端)
Proposal如下图所示
禁用掉“重拨检测”和“PFS”,超时设置为3600,至此,完成IPSec相关的设定。
下面需要配置访问策略,首先,访问策略 >> 地址,新建一个地址,即Vigor路由器的网段地址,如下图
点击策略 & 对象 >> IPv4策略,新建一条策略,设置如下图
保存策略后,为确保vpn畅通,将vpn策略用拖动的方式移到最上方,飞塔端的VPN和访问策略设定就全部完成了。
Vigor 路由器端设定,相对比较简单。
首先,点击LAN to LAN设定中的索引值,例如2,新建一个VPN连接
勾选“启用此设定档”,命名,拨出选择WAN1(如果用的线路是WAN2,则选WAN2优先或仅WAN2),方向勾选“拨出”,选中“一直在线”(这样在任何情况下断线,客户端都会自动重拨),拨出设定中,IP如实填写,如果是动态IP,可以先给服务器设定一个动态域名,然后在这里配置动态域名即可
预共享密钥,配置成和拨入端相同
IPSec安全模式,选择“高等(ESP)”。
然后点击高级,配置野蛮模式和本地ID
在高级页面中,注意设定正确的本地ID,选择积极模式(野蛮模式)。1阶段和2阶段提议如图所示,可以匹配到飞塔端设定
然后网段配置中,确保网段和飞塔端匹配。
设定完成,稍等片刻,VPN即可联通。
VPN连通后,在2922端试着ping一下对端网段,确保能够ping通
