放通比必要的安全策略
安全策略需要放通untrust–local与local—untrust的GRE协议号报文,ip协议号47 ,local–untrust可改为local-any放通所有
创建GREVPN隧道,以下为两个设备的配置
创建GRE成功后需要手动指定到达对端内网的路由,下一条指向对端的隧道IP,否则无法到达对端内网
放通内网到对端内网的安全策略,为了局域网安全可做精细化匹配
最终GREVPN隧道配置完成可ping通对方内网
注意:因为创建的GRE属于untrust区域又做了内网到外网的NAT端口转换,需要关掉内网网段到对端内网的NAT端口转换,或者将区域改为接口转换。此处尝试第一种方法
为了通信的安全封装一层ipsec隧道的加密
本端与对端地址填写各自的公网IP,由于GREVPN跑的是GRE协议,可针所有报文通过此协议做封装加密,由于两台设备一直此处安全提议默认,此处只上传一台设备配置,另外一台配置大概相同