Vigor 2915 拨出到 Vigor 2136:IPsec LAN to LAN VPN 设置教程
文章摘要
本文以 DrayOS 4 的 Vigor 2915 和 DrayOS 5 的 Vigor 2136 为例,演示如何建立一条 IPsec LAN to LAN VPN。由于 Vigor 2136 属于 DrayOS 5 新型号,VPN 设置界面与传统 DrayOS 4 机型略有不同,因此本文主要用于展示 Vigor 2915 作为 VPN 拨出端、Vigor 2136 作为 VPN 拨入端时的配置方式。该方案适合企业分支机构组网、门店连接总部、异地办公网络互联等场景。
适用场景
在企业 VPN 组网中,经常会遇到一端有固定公网 IP,另一端没有固定 IP,甚至没有公网 IP 的情况。例如:
-
分支办公室拨入总部;
-
门店路由器连接公司服务器网络;
-
远程站点访问总部 ERP、CRM 或文件服务器;
-
两地内网之间通过 IPsec VPN 实现互访。
本例中,Vigor 2136 作为 VPN 拨入端,Vigor 2915 作为 VPN 拨出端。由于 Vigor 2915 没有固定 IP,因此采用 IPsec 野蛮模式,并通过 ID 匹配完成双方认证。
设备角色说明
| 设备型号 | 系统版本 | VPN 角色 |
|---|---|---|
| Vigor 2136 | DrayOS 5 | VPN 拨入端 / 服务器端 |
| Vigor 2915 | DrayOS 4 | VPN 拨出端 / 客户端 |
本文重点通过界面截图说明 DrayOS 4 与 DrayOS 5 在 IPsec LAN to LAN VPN 配置界面上的差异,以及配置过程中容易出错的几个关键点。
一、服务器端配置:Vigor 2136
在 Vigor 2136 管理界面中进入:
VPN >> 站点到站点 VPN
点击 “+ 添加”,新增一个站点到站点 VPN 配置档。
按照下图填写 VPN 拨入端配置。
配置完成后,保存并启用该 VPN 配置档。
二、客户端配置:Vigor 2915
在 Vigor 2915 管理界面中进入:
VPN 和远程访问 >> LAN to LAN
点击一个空白的配置档索引数,进入 LAN to LAN VPN 设置页面。
按照下图填写 VPN 拨出端配置。
配置完成后,保存并启用该 VPN 配置档。
如果配置正确,Vigor 2915 会主动向 Vigor 2136 发起 IPsec VPN 连接,建立两地 LAN to LAN VPN 隧道。
三、配置注意事项
虽然 Vigor 2915 与 Vigor 2136 建立 IPsec LAN to LAN VPN 的整体步骤并不复杂,但以下几个细节非常重要。很多 VPN 无法拨通的问题,都与这些配置项有关。
1. 客户端没有固定 IP 时,应使用野蛮模式
由于本例中的 Vigor 2915 没有固定 IP,甚至可能没有公网 IP,因此建议采用 IPsec 野蛮模式。
在这种场景下,拨入端无法通过固定公网 IP 精确识别拨出端,因此需要依靠 ID 进行身份匹配。
这也是很多分支机构 VPN、门店 VPN 和动态 IP VPN 组网中常见的配置方式。
2. 本地 ID 与远端 ID 必须完全匹配
在 IPsec 野蛮模式中,ID 相当于用于匹配预共享密钥的“用户名”。
因此,拨出端和拨入端的 ID 配置必须完全对应:
-
Vigor 2915 拨出端的“本地 ID”;
-
Vigor 2136 拨入端设置的“远端 ID”。
两边必须完全一致,包括大小写。
如果 ID 不匹配,拨入端可能无法找到正确的预共享密钥,最终导致 IPsec VPN 无法建立。
例如:
Branch001
和:
branch001
在匹配时可能会被视为不同 ID,因此请务必保持完全一致。
3. 第二阶段必须使用 ESP,不要选择 AH
在 IPsec 第二阶段设置中,对于非公网环境或存在 NAT 的场景,必须使用 ESP 模式。
请不要选择 AH 模式。
原因是 AH 对数据包完整性校验要求较严格,在经过 NAT 转换时容易导致认证失败,因此不适合多数动态 IP、NAT 后方设备或无公网 IP 的 VPN 场景。
如果 Vigor 2915 位于运营商 NAT、上级路由器后方,或者没有公网 IP,请务必确认第二阶段使用 ESP。
4. 第二阶段网段是“感兴趣流”,不是简单路由表
在 IPsec VPN 中,第二阶段配置的本地网段和远端网段并不只是用来添加路由表。
它们还会作为 IPsec 第二阶段协商时的严格匹配条件。在一些品牌设备中,这类配置也被称为“感兴趣流”。
因此,双方配置必须互为相反,不能写错。
例如:
| 设备 | 本地网段 | 远端网段 |
|---|---|---|
| Vigor 2915 | 分支 LAN 网段 | 总部 LAN 网段 |
| Vigor 2136 | 总部 LAN 网段 | 分支 LAN 网段 |
如果两端网段不对应,即使预共享密钥、ID、加密算法都正确,也可能导致 VPN 第二阶段协商失败,或者隧道建立后无法访问对端内网。
四、配置完成后的测试建议
VPN 建立后,可以通过以下方式简单验证:
-
在 Vigor 2915 或 Vigor 2136 的 VPN 状态页面查看隧道是否上线;
-
从分支 LAN 侧 Ping 总部 LAN 侧 IP;
-
从总部 LAN 侧 Ping 分支 LAN 侧 IP;
-
测试 ERP、CRM、NAS、文件服务器等实际业务系统是否可以访问;
-
查看 VPN 日志,确认是否存在 ID 不匹配、预共享密钥错误或第二阶段协商失败等提示。
如果 VPN 显示已连接,但无法访问对端内网,请优先检查两端 LAN 网段、第二阶段感兴趣流、防火墙规则和目标主机自身防火墙。
常见问题 FAQ
Q1:Vigor 2915 可以拨出到 Vigor 2136 建立 IPsec VPN 吗?
可以。Vigor 2915 可以作为 IPsec LAN to LAN VPN 拨出端,Vigor 2136 可以作为站点到站点 VPN 拨入端,用于实现分支机构与总部之间的内网互联。
Q2:Vigor 2915 没有固定公网 IP,可以建立 LAN to LAN VPN 吗?
可以。没有固定 IP 时,可以使用 IPsec 野蛮模式,并通过本地 ID 与远端 ID 进行身份匹配。只要 ID、预共享密钥和第二阶段网段配置正确,就可以建立 VPN 隧道。
Q3:为什么 IPsec 野蛮模式中 ID 很重要?
在野蛮模式中,ID 用来帮助拨入端匹配正确的 VPN 配置档和预共享密钥。拨出端本地 ID 与拨入端远端 ID 必须完全一致,否则可能导致 VPN 认证失败。
Q4:IPsec 第二阶段为什么建议选择 ESP?
对于动态 IP、NAT 后方设备或无公网 IP 场景,ESP 更适合用于 IPsec VPN 数据传输。AH 在经过 NAT 时容易出现认证问题,因此本例中请不要选择 AH。
Q5:为什么 VPN 已连接但无法访问对端内网?
常见原因包括第二阶段本地网段和远端网段配置错误、两端感兴趣流不匹配、防火墙阻挡、LAN 网段冲突,或者目标主机自身防火墙未允许访问。
总结
本文以 Vigor 2915 拨出到 Vigor 2136 为例,展示了 DrayOS 4 与 DrayOS 5 之间建立 IPsec LAN to LAN VPN 的基本配置方式。
整体配置并不复杂,关键是注意以下几点:
-
Vigor 2915 没有固定 IP 时,使用野蛮模式;
-
拨出端本地 ID 与拨入端远端 ID 必须完全匹配;
-
IPsec 第二阶段应选择 ESP,不要选择 AH;
-
第二阶段网段是严格匹配的感兴趣流,双方必须互为相反。
只要这些关键参数配置正确,Vigor 2915 与 Vigor 2136 就可以稳定建立 IPsec LAN to LAN VPN,实现分支机构、门店或远程站点与总部内网之间的安全互联。