所谓site to site是指搭建在路由器之间的VPN网络,实现路由器背后的两个不同网络间的设备通过IPsec隧道实现互访。这也是最常用的VPN技术。
本文以Digi的WR44和DAL路由器LR54为例,其它DAL设备(如IX20,Digi 6350-SR,TX64等)也可以根据此来配置。
IPSec响应端的设置和发起端
有时为了方便,响应端也称为VPN服务端,其实IPsec是个对等的隧道,但响应端一般有可以远端可直接访问的IP。一般可选Digi 6350-SR作为办公室VPN服务端。本文以WR44RR 作为IPsec VPN的响应端,它有一个公网IP(以1.2.3.4为例),它后面的LAN网络是192.168.5.x 。而远端路由器LR54在NAT背后,WAN口的IP 192.168.1.10,其内网IP网段是192.168.2.x。
我们将要搭一个IPsec的隧道,实现局域网内LR54后面的192.168.2.32~48的IP网段可以和WR44后面的192.168.5.x互通。
一、WR44服务端的配置
1、以太网口的配置
注意给不同的网络分不同的group,这是早期基于SarOS系列路由器的特点
2. 配置默认路由
对于无线路由器,一般默认路由是蜂窝网络,但这里我们把它当普通有线的路由器来用,所以需要设置一个默认eth2出口的默认路由。在Configuration – Network > IP Routing/Forwarding > Static Routes > Default Route 0里配置如下:
3. 配置IPsec
Ike配置
二、DAL路由器配置
1. 以太网口配置
2. VPN 配置
