VPN篇(5.2)－07. IPsec VPN 子网重叠 ❀ 飞塔 (Fortinet) 防火墙

         【简介】飞塔防火墙 IPsec VPN 子网重叠，实际上就是将各点VPN连接上后避免因为相同网段而不能互相访问。

---

  子网重叠产生场合

        当其中一个分部用拨号的方式连接了总部（拥用固定IP）IPsec VPN后，其它分部也可以用同样的方式通过IPsec VPN接入总部。

        每接入一条IPsec VPN，总部的防火墙都下发生成一条路由，由此可见，每个分部与总部通过VPN相连的内网地址都不应该相同。为了便于管理，可以将分部内网地址分配为10.0.1.x，10.1.1.x，10.2.1.x 等，避免相互冲突。

        这样就要求每个分部的IP地址都不能相互冲突，但是实际情况是很多独立的子网都会建立192.168.1.x 这类的IP网段。最直接的解决方法就是将分部的各自的IP地址修改为统一顺序的地址段。但是改变内网的IP地址，就需要更改服务器、打印机、共享，如果网络比较大，设备比较多的话，工作量将会很多，而网络管理人员也会情绪底落。

  隧道设置

        其实我们可以在对IPsec VPN的内网网段做NAT地址映射，将现在使用的内网网段（例如192.168.1.1）映射为统一规划的内网网段（例如10.1.1.1）。

        ① 新建一条IPsec VPN隧道， 输入对方外网的IP地址，接口选择本地上网的接口。

        ② 输入与总部相同的共享密钥，选择入侵模式。

        ③ 选择输入第一阶段的加密方式，需要与总部相同。

        ④ 第二阶段输入VPN互访双方的内网地址，由于真实的内网地址是10.0.1网段，这里本地地址填写的是映射出去的内网地址，也就是需要和其它分部不同的内网地址。

        ⑤ 输入第二阶段的加密方式，需要与总部相同。自动密钥和自动协商打钩。这样隧道就配置好了。

  映射

        下面我们需要将真实的内网地址端射到VPN设置的地址中。

        新建一个虚拟IP，接口选择隧道接口，外部地址输入的是VPN里设置的内网地址，最下面的是实际的内网地址。

  路由

        象正常设置IPsec VPN一样，我们需要建立一条静态路由。

        目的地址填写的是远端总部的内网地址。设备选择VPN接口。

  策略

        现在需要建立两条策略，一条是允许总部通过隧道访问本地内网，一条是本地内网允许通过隧道访问总部。

        ① 允许内网通过隧道访问总部，源地址和目的地址都默认为ALL，这条策略启用Nat需要打开。

        ② 允许总部访问内网策略，目地地址选择刚才建立的虚拟IP，NAT不启用。

  测试

        首先查看VPN是否建立成功。

        ① 在IPsec监视器，可以看到状态为启动，绿色向上箭头。

        ② 本地IP是10.0.1.100，访问172.0.3.1可以通，说明映射起到作用，因为VPN里本地地址是192.168.8网段。

        ③ 从总部访问192.168.8.100，实际上访问的就是本地的10.0.1.100。这样如果各分部都做NAT隧道映射的话，本地地址就不用修改了。VPN内网地址也不会重复。

飞塔技术-老梅子   QQ：57389522

---