需求
阿里部署了OpenVPN,且开通了上海的白名单,上海可以通过OpenVPN可以连接阿里内网
但是福州没有固定IP,无法开通白名单,怎么办?
网络环境:
| 地域 | 外网 | 内网 |
| 阿里 | 61.218.73.79 | |
| 福州 | 动态IP | 10.3.8.0 |
| 上海 | 110.13.101.230 | 10.3.0.0 |
解决思路:
上海与福州通过两边防火墙必须要先建立IPSecVPN,实现内网互通。然后通过NAT方法当福州访问阿里云时,通过转换源地址后,绕道上海出。
一、配置
1、上海 创建NAT策略 (必须设置)
| 区域 / IP | 值 | 对应的IP |
| 源安全区域 | untrust | |
| 目的安全区域 | untrust | |
| 源地址 | FZ-10.3.8.* | 10.3.8.0/24 |
| 目的地址 | Aliyun FZ | 61.218.73.79 |
| 转换源地址 | FW_IP | 110.13.101.230 |
2、两端加密数据流,这里经过测试,V1版本不支持地址和地址组方式,V2可以
(1)上海加密数据流
(2)福州加密数据流
3、两端安全策略 (如果有其它策略已经包含,这2条可以不用设置)
| 上海 | 源安全区域 | untrust |
| 目的安全区域 | untrust | |
| 源地址 | any | |
| 目的地址 | 61.218.73.79 | |
| 福州 | 源安全区域 | trust |
| 目的安全区域 | untrust | |
| 源地址 | any | |
| 目的地址 | 61.218.73.79 |
(1)上海安全策略
(2)福州安全策略
4、福州 创建NAT策略(必须设置)
No_Nat 不做转换,目的是为了访问这个IP时,不走常规上网NAT出去,而且必须要放在它的上面
5、福州 添加静态路由,(因为默认有一条 0.0.0.0 的策略,这条可以省略)
6、查看
二、验证
1、首先我们在福州找一台电脑访问 61.218.73.79,查看福州的防火墙会话表
通过会话表我们得出,没有NAT源地址,说明成功应用到了上面设置的 no_nat 策略
2、然后在上海防火墙上面查看会话表
通过会话表我们能够看到,当源地址是 10.3.8.80 访问 61.218.73.79 时,转换成 上海的 IP 出去
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
