本帖最后由 zhoufuchen 于 2024-11-30 21:40 编辑
根据机器人和官方文档的指导,嗯是配不通! 感觉每一步都照做了,但就是不好使 经过n多尝试,总算配完了。。。
拓扑简单 总部直接连接公网,有公网IP 110.110.110.110 分支不直接连到公网,前面还有NAT设备,通过 PPP 上网
总部配置(AF8.0.32) 1)网络 >> 接口/区域 >> 打开 WAN 口,勾选“与IPSec VPN出口线路匹配” 2)网络 >> IPSecVPN >> DLAN 运行状态,在右侧找到并点击“启用 VPN” 3)网络 >> IPSecVPN >> 基本设置 >> 主 WEBAGENT,填写总部设备的公网地址 110.110.110.110,共享密钥选填 4)网络 >> IPSecVPN >> 用户管理,新建一个用户,比如 vpnadmin1,用于之后对接验证 5)网络 >> IPSecVPN >> VPN 接口设置 >> VPN 内网设置,添加对应的内网接口(至少添加一个),有点类似配置感兴趣流,这里只配置 AF 上有的网段 6)网络 >> IPSecVPN >> 本地子网列表,根据实际情况填写总部内网设备的网段(不包括 AF 本身 LAN 口网段),类似配置感兴趣流 例:内网有 192.168.102.0 网段,流量经过三层交换机后达到防火墙,最终需要和分支互通,这个网段也不属于 AF 的接口地址段,那就把这个 192.168.102.0 网段填在这里 7)网络 >> 接口/ 区域 >> 区域 >> 新增一个三层区域,此时应该会看到一个 vpntun 的接口,将该接口加入区域 8)配置应用控制策略,放通 vpntun 和 AF LAN 口之间的流量
分支配置(AF8.0.75) 1)网络 >> Sangfor/IPSecVPN >> VPN 运行状态,勾选“开启 VPN 服务” 2)网络 >> Sangfor/IPSecVPN >> Sangfor VPN 配置 >> 基本配置,分支不需要配置“主接入地址”,留空即可,随便乱写一个也行 3)网络 >> Sangfor/IPSecVPN >> Sangfor VPN 配置 >> 基本配置 >> 本地网段,概念同总部,根据需要填写跨三层的地址段 4)网络 >> Sangfor/IPSecVPN >> Sangfor VPN 配置 >> 基本配置 >> 高级设置 >> VPN 内网接口,这里只显示满足“内网”标准(未配置默认网关且未勾选WAN)的接口,按需要勾选即可(老版本中则会显示全部没有 LAN 属性的接口,而且必须配置至少一个) 5)网络 >> Sangfor/IPSecVPN >> Sangfor VPN 配置 >> 接入账号管理,分支不用配这项 6)网络 >> Sangfor/IPSecVPN >> 通用配置 >> VPN 线路配置 >> 新增一个线路,如果设备位于 NAT 后,需要填写公网地址(PPP 获得的地址) 7)网络 >> Sangfor/IPSecVPN >> Sangfor VPN 配置 >> 连接管理,新增一个连接,填写总部的 WEBAgent 或主连接地址(110.110.110.110),共享密钥选填(总部配了的话这里就必须填一样的),认证信息则填写之前在总部侧配置的账号,比如 vpnadmin1 8)网络 >> 区域 >> 新增一个三层区域,此时应该会看到一个 vpntun 的接口,将该接口加入区域 9)配置应用控制策略,放通 vpntun 和 AF LAN 口之间的流量
验证 回到VPN运行状态,确认连接建立 用客户端互ping验证 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-12-2 13:32
