关于SSL VPN的虚拟ip疑问？

SSL VPN单臂部署在网络中，接在核心交换机上，出口还有个路由器，现在SSL　VPN　LAN口ip地址为，192.168.70.1/24，设备可以正常上网，现在虚拟ip池设置为192.168.1.0/24，虚拟ip池与内网ip没有冲突，"资源服务器选项"设置为使用分配的虚拟ip作为源地址，这样的话，是不是需在路由器和核心交换机都要写前往192.168.1.0网段的路由，下一跳指向SSL VPN的LAN口ip。另一种情况，如果“资源服务器选项”设置为使用设备的ip地址作为源地址，是不是就不需要路由器和核心交换机写回包路由了？

如果是源IP，则服务器看到的是VPN的LAN口地址，这样回包自然回到了VPN.如果是虚拟IP，服务器看到的IP为虚拟IP，这样回包送到服务器指定的网关，如果没有对应的路由，那一般默认路由会直接送到公网，互联网不可能路由私网地址，所以就丢弃了。需要在服务器网关做静态路由，源IP段为服务器网段，目的网段虚拟IP池段，下一跳为VPN的LAN口地址，这样回包就正常了。如果网关设备上不写静态，有默认路由，那么在默认的下一跳设备上写静态也一样，路由可达就好了。这样VPN收到服务器回包后，将数据包封装ESP包头，注意AH包头不能穿越NAT，因为AH也加密部分包头，而ESP是只加密数据不加密包头的，然后转发至客户端进行解密。尽量不要用DES，因为已经被破解了，用3DES或者AES等。

对的 以设备为源地址相当于NAT

用于ssl vpn的虚拟ip池不能和内网相同网段，要尽量选择比较生僻的网段 或者就使用设备里面自带的那个就可以