ssl vpn客户端 访问IPSEC 分支资源

一、客户需求

（1）客户使用SSL VPN登录后，可以访问云上资源，同时通过IPSEC 打通云上和本地分支，但是客户特殊需求比如居家隔离中没有在公司环境，想同时访问云上环境和公司资源

二、需求分析

   当客户存在云上和云下两个及多个环境时，常规移动运维需要分别接入每个节点的VPN，然后运维，多节点操作频繁退出，然后切换另外环境，操作复杂，在多节点有IPSEC打通情况下，实现登录云上SSL VPN 客户端，能同时访问客户线下分支资源，和云上资源，实现在家同时和云上和公司环境打通，真正实现移动办公

三、需求难点分析

常规VPN添加节点，直接添加对应资源即可，但是因为IPSEC对接需要考虑网络连通性

通过分段法分析网络连通性，分析结果为客户端--VPN--分支，网络是正常，但是没有回包分支---VPN无法回包，只需要解决分支回包问题即可

四、解决方案

由于VPN客户端访问到VPN是虚拟IP，如图

  常规路由方式已经不可用，需要在分支端写回报路由为虚拟地址端的回报路由例如 2.0.0.0 255.0.0.0   下一跳指向VPN设备。这样就实现了登录云上VPN客户端，不仅可以访问云上资源，还可以访问分支资源，方便办公

五、注意事项

此方法只能适用于分支和托管云VPN设备都是旁路部署情况。（分支防火墙如果时出口此方法不适用）

虚拟地址可以修改，默认虚拟地址范围较大，注意不要和客户分支范围冲突

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

每天学习一点新知识，谢谢分享

每天学习一点新知识，谢谢分享

每天学习一点新知识，谢谢分享

每天学习一点新知识，谢谢分享

每天学习一点新知识，谢谢分享

每天学习一点新知识，谢谢分享

每天学习一点新知识，谢谢分享

每天学习一点新知识，谢谢分享