文档编号:2036
浏览:6754 评分:6
最后更新于:2016-04-19
此文档是基于521G v1.7.7版本
需求:
不同的局域网建立的LAN-LAN VPN,想要实现只能分部能访问总部,而总部不能访问分部。
问题排查:
1、在总部VPN网关(VPN服务端)的VPN全局配置中,只需要启用PPTP服务器和主DNS服务器,其他使用默认的即可,如下图所示:
2、总部VPN网关(VPN服务端)配置隧道名称,用户类型LAN到LAN的用户类型,为每个分部配置不同的VPN用户名和密码,固定账号可以不用填写,并分别在远端内网IP地址栏与远端内网子网掩码栏填写各个分部局域网IP地址信息(各个分部以及总部的局域网IP地址网段均不能相同),如下图所示:
3、分部VPN网关(VPN客户端)勾上启用该配置和启用NAT,配置VPN用户名及密码,远端内网IP地址与远端内网子网掩码填写总部局域网IP网段信息,隧道服务器地址填写总部VPN网关的公网IP地址,如下图所示:
4、在总部设备上能看到VPN会话状态显示已连接,如下图所示:
5、在客服端ping测试服务端正常,如下图所示:
6、服务端ping测试不能访问,如下图所示:
7、配置完毕,测试也达到用户需求。
注:VPN单向访问是通过NAT转换来实现的。