关于vpn医保专线分流问题，望大神指点。

思の凡

一个爱快就能做所有的事情，互联网线路放在wan1上，医保线路做在wan2上，默认路由走wan1，医保相关IP走端口分流到wan2

TuYaaaa

思の凡 发表于 2024-3-7 13:56一个爱快就能做所有的事情，互联网线路放在wan1上，医保线路做在wan2上，默认路由走wan1，医保相关IP走端口 ...

技术回复说：多线负载医保专线，和vpn服务器是同一设备时无法进行有效的多线负载和分流，

HonlySun

首先，这个应该是不难的，至于在这里发么。其次最重要的，麻烦发贴时把一些关键的IP信息替换下，用wf的专网地址都放图上了，看你的IP是wf-kw-unicom的吧，是运营商还是连锁总部？遵守下专网规范，别乱发！！！

639379710

不是很了解医保专线，但我看到你tp路由器上写了一条静态路由，我应该可以认为医保专线访问的就是这个ip，只要ip能从医保专线出去，客户端能访问到对应的web或者什么服务器就可以了吧。

那要是我的话tp主路由上做好静态路由，之后医保专线的我看你写的wan2-wan4，配上ip和网关，不勾选默认路由

然后wan1应该是去tp的勾上默认路由。就结束了。

这样的话就是访问互联网统一走宽带，访问你那个静态路由的就走专线了

分流最多就是wan2-wan4做一下负载可以把医保专线都用起来。dns的话不管指向谁确保解析医保地址是对的就行了，如果地址少的话，ikuai现在还能直接做dns解析的，直接ikuai里配好就行了。



=====================================================

ikuai1其实没啥说的，就是vpn服务器，用户连进来，不管用户访问什么都扔到tp去。我不是做医疗行业的不太了解，现在生产环境还用l2tp和pptp吗？不管是作为用户还是站点用这样的方式接入安全性太低了。如果对端是站点那应该使用ipsec vpn，如果对端是用户的客户端比如电脑或者手机，那推荐使用ssl vpn，最好使用otp二次验证，思科和forti等有名的防火墙产品都可以。

TuYaaaa

HonlySun 发表于 2024-3-7 14:46首先，这个应该是不难的，至于在这里发么。其次最重要的，麻烦发贴时把一些关键的IP信息替换下，用wf的专网 ...

好的，谢谢

TuYaaaa

639379710 发表于 2024-3-7 14:50不是很了解医保专线，但我看到你tp路由器上写了一条静态路由，我应该可以认为医保专线访问的就是这个ip，只 ...

收到，感谢指导

菲尔公爵

TuYaaaa 发表于 2024-3-7 13:20感谢回复，技术支持。是这样的，tp的路由器时之前公司就有的很多设置不想动，所以就没有动，然后之前咨询 ...

自己实践一下，我这边试过端口分流对远程客户端的IP也生效。

TuYaaaa

菲尔公爵 发表于 2024-3-8 09:32自己实践一下，我这边试过端口分流对远程客户端的IP也生效。

收到，我测试一下，谢谢

HonlySun

TuYaaaa 发表于 2024-3-8 07:47好的，谢谢

1、以前测试过，L2TP和PPTP客户端地址池的流量也可能被流控分流--端口分流策略匹配到。
2、既然总部决定为分支药店做统一接入，那么在确认好客户端地址池、保证总部专线稳定的前提下，做目的IP的全端口引流就行了。
3、专线接到爱快路由设置为一条WAN线路，但是不要加入掉线切换、多线负载、智能分流等自动化策略。首先配置好目的IP地址段的静态路由，正常情况应该是不需要配置端口分流，客户端流量全量走拨号，静态路由就能正确引流了。
注意以下：
1、后续药店目录上传、联网结算、POS机具（改MIS模式）全部走专网，可靠性要求比较高，总部专线、总部爱快路由器是不是要做热备？
2、如果分支药店太多，跟运营商协调在专线端多下发一段专线IP，NAT时走地址池，避免有密集异常流量被医保核心网封锁IP。
3、当前爱快的L2TP和PPTP 服务端拨入后，客户端是全流量走拨号，这样是不是需要封锁药店通过拨号走总部互联网，会消耗总部互联网出口。如果分支药店自己用双WAN路由器做分流那另当别论。

TuYaaaa

HonlySun 发表于 2024-3-8 18:201、以前测试过，L2TP和PPTP客户端地址池的流量也可能被流控分流--端口分流策略匹配到。
2、既然总部决定 ...

收到您的指导很详细，非常感谢，针对您说的注意事项我会认真考虑，目前只有第三条注意事项之前有过考虑，目前是分店用路由器拨vpn，并在路由表上做的策略路由，除专网网段流量走vpn，其他流量走本地wan口。