【托管云】SSL VPN对接ikuai路由器IPsec操作经验

一、文档概述

客户对端设备为ikuai路由器，型号：免费版3.6.11 x64 Build202211181235。需要与我方SSL VPN对接打通IPsec VPN隧道。

客户网络是PPPoE拨号上网，为动态IP。

客户本地子网：10.0.0.0/9

云上子网：10.196.0.0/24

二、操作步骤

1、我方SSL VPN第一阶段配置：

（客户网络是PPPoE拨号上网，IP不固定，因此需要客户端主动发起连接）

2、我方SSL VPN第二阶段设置：

3、我方网络出口映射UDP500和UDP4500端口，路由器设置到对端网段走VPN的静态路由：

4、Ikuai路由器IPsec配置预共享密钥和身份ID（ikuai路由器身份ID为FQDN类型，因此我方也需采用FQDN类型）

5、ikuai路由器静态路由，所有流量均走wan1口（wan1口即是我方VPN的对端接口）

6、为保证IPSEC VPN隧道抓取到感兴趣流，对感兴趣流设置NAT过滤规则，使之不被上网策略SNAT转换

7、IPsec VPN隧道成功建立

三、操作影响范围

客户侧在设置NAT策略和路由时要谨慎，防止影响原有业务

四、注意事项

1、ikuai路由器身份IP只支持FQDN字段（即“域名字符串”）；

2、SSL VPN只支持IKE的V1版本；

3、某些情况下，ikuai路由器重启之后，IPSEC通道将断开且无法自动续练，需要删除原有IPSEC策略并重建。