2. 然后在菜单“定义→地址”中添加两个子网,两个防火墙都需要这两个子网:
对于server网关,不可能也不必知道client主机的ip地址,所以广义的认为client可以为这个internet。
3. 在server网关的菜单“vpn→配置”中,选中“使用ipsec nat穿越”。
4. 在server网关的菜单“vpn→ipsec ike网关”中,点击“添加”按钮,添加一条client主机与server网关的ipsec ike网关。
远程网关类型应该选择“动态任意”,认证方式选择共享密钥。
5. 在server网关的菜单“vpn→ipsec自动”中,点击“添加”按钮,添加一条使用上述ipsec ike网关的ipsec自动密钥隧道。注意,本地子网是server subnet,远程子网是none,并且选中“接收nat穿越”。
6. 最后,在菜单“防火墙→策略”中,点击“添加”按钮,添加一条使用ipsec共享密钥隧道“nat”的策略,激活ipsec共享密钥隧道,并在防火墙上设置相应的策略以保证符合条件的流量通过。
