如何通过虚拟专用网(IPsec)连接两个网络？

Question

我想做一个与IPsec虚拟专用网的点对点桥接。我该怎么做？

在当地，我有一个DrayTec Vigor2910，它应该能够管理IPsec隧道。我需要有几个VPN隧道到不同的站点，但如果我能配置的唯一路由器是本地路由器，我该如何做呢？据我所知，我需要另一边的某种VPN服务器或客户端，但我不确定。

Answer 1

现有的IPSec VPN不能提供桥接(L2)，但可以提供路由(L3)。为了桥接，您可以使用GRE或L2TP (连同IPSec) --但是您需要验证您的框支持这些(或其他一些L2隧道机制)。

Answer 2

是的，实际上，为了建立一个VPN隧道，您需要在隧道的两端进行一些工作。如果您不能配置另一端，或让人为您配置它，那么您将不会去任何地方。

对于为多个客户端提供中央VPN服务器的情况，在对服务器进行配置之后，可以指示客户端安装客户端、下载一些配置文件并准备就绪。但是，这需要进行一些测试，还需要客户端的用户执行您的下载/安装/配置说明。

Answer 3

您需要了解您的总部终端设备( DrayTec)的功能，以及哪些硬件可以作为链接的另一端兼容。

我不能直接与您的DrayTec说话，但我使用思科ASA，这可以选择做传统的网站链接，当您需要一个静态IP地址和特定的配置在每一端。

它还有一个名为EasyVPN的客户端类型模式，您不需要远程端的静态IP地址--使用中心设备的IP地址配置远程设备，然后输入凭据。然后，远程设备可以从任何internet连接连接，并提供对VPN的访问，以访问其背后的LAN。这对我们很有用。

也许DrayTec也有类似的选择。