防火牆在NAT設備後面,如何建置Site-To-Site VPN?
選項
Zyxel Employee
情境:
當既有的客戶設備無法異動,又需要建立Site-To-Site VPN時.以往這樣的情況
就很困擾…以下分享這樣的情境下如何不動到客戶設備又可以建立Site-To-Site VPN
(Note:範例為示範behind nat 建立site to site vpn的方式,如有其他連線需求就有可能需要再建立靜態路由來完成)
架構示意圖:
總公司設定:
1.點選左邊的快速設定,再點選VPN設定
2.選擇IKEv2 ,並選擇遠端存取(伺服器角色)
3.選擇WAN的介面,並輸入共用金鑰與要互通的總公司網段.
4.設定完後會有摘要設定,若無需調整設定,點選儲存即可.
分公司設定:
1.一樣選擇左邊快速設定後,選擇遠端存取(用戶端角色)
2.介面選擇:WAN介面
遠端設備位置:輸入對點的固定IP或是FQDN
預先共用金要:輸入剛才總公司設定的共用金鑰(兩邊設定要一樣)
本機策略:輸入分公司的內網網段
遠端策略:輸入總公司的內網網段
3.下一步後就可看到剛才的設定內容.點選儲存即可
4.此時VPN 連線就會有一筆剛才新增的VPN通道.點選編輯進入,展開進階設定,勾選固定,讓VPN持續撥號連線.
此時若設定沒錯,VPN就會撥通地球符號就會亮起.
5.VPN建通後,可透過內建工具來測試連線.
路徑:維護>網路工具
網路工具下拉選擇:PING IPv4
網路名稱或IP位址:輸入對點內網防火牆的IP位址
進階設定:選擇內網介面
擴充選項:輸入 –s(小寫)空格,內網的防火牆IP位址
1
