2. 然后在菜单“定义→地址”中添加两个子网,两个防火墙都需要这两个子网:
3. 在server网关的菜单“vpn→配置”中,选中“使用ipsec nat穿越”,client网关则不需要。
4. 然后,因为需要使用用户证书和ca证书,所以导入证书到防火墙,在菜单“vpn→证书→用户证书(私钥)”中,点击“添加”按钮,添加用户证书(私钥);点击“ca证书”链接,在“vpn→证书→ca证书”中添加ca证书。
5. 在菜单“vpn→ipsec ike网关”中,点击“添加”按钮,添加一条连接client与server网关的ipsec ike网关。
server网关的远程网关类型应该选择“动态任意”,而client网关的远程网关应输入server网关的外口ip地址,认证方式应同时选择证书(使用基于ca证书的信任链)。不能调换server与client的位置,因为只有nat设备后的网关能够发起连接,所以nat设备后的网关必须是client。
6. 在菜单“vpn→ipsec自动”中,添加一条使用上述ipsec ike网关的ipsec自动证书隧道。
server网关应该选中“接收nat穿越”。
7. 最后,在菜单“防火墙→策略”中,添加一条使用ipsec自动证书隧道的策略,激活ipsec自动证书隧道,并在防火墙上设置相应的策略以保证符合条件的流量通过。