使用飞鱼星路由器与SSL VPN实施第三方ipsec对接

一、组网拓扑
总部SSL VPN单臂部署，分支使用飞鱼星路由器作网络出口，并且采用PPPoe进行拨号上网，使用飞鱼星和SSL VPN做ipsec对接。

二、配置步骤
1、总部端第一阶段的配置；
a、新建第一阶段配置，设置设备地址类型为：对端是动态IP，设置共享密码：123456；

b、进入第一阶段的高级配置，设置第一阶段的参数。

由于对端是动态IP场景，故使用野蛮模式进行对接。

由于对方支持的身份类型有限，这里身份类型使用域名字符串（FQDN）。

由于本端SSL VPN设备在NAT环境中（即在网络内部）故必须开启NAT穿透功能。

由于网络环境复杂故建议开启DPD功能，DPD可以检测双方的SA状态。

其他的参数可以使用默认方式。

2、总部端第二阶段配置，IPsec第二阶段主要是设置数据流的匹配。某公司设备分为入站和出站；
a、入站策略，即对端的客户端网段；

b、出站策略，即总部端需要访问对端的网段，一般是服务器网段；

3、在总部网络出口设备配置端口映射，映射SSL VPN的udp500和udp4500端口。另外还需要在总部端的核心交换机上配置去往分支网段的路由扔给SSL VPN的地址，否则，会导致无法正常通信。

4、分支端飞鱼星路由器的配置；
a、登录飞鱼星路由器进入【虚拟专网】---【ipsec网对网】新增配置。设置模式还是为野蛮模式，添加总部的公网IP和总部端服务器网段地址和本地需要访问的网段。

b、进入高级选项是在两个阶段的ipsec对接参数，这里的参数具体请参考总部端的设置。PFS功能总部的配置未开启故本端也不需要开启。

三、结果验证
1、总部端运行状态

2、飞鱼星状态；


3、分支端ping中部测试；

感谢楼主带来的精彩分享，步骤非常详细，有第三方对接需求的，都可以参考哦！

给楼主点赞！

好贴，收藏

谢谢分享！

有用，先收藏~

第三方对接的好帖

棒棒哒

有尝试过 一方离线后还能起的来吗？

应该点赞

Thanks for Sharing！