IPsec互通的站点间的内部流量被认为是外网流量

micahfy

在两个爱快站点通过IPSec打通内网后，如果在系统设置中关闭了“远程访问”中的外网访问权限，将无法通过IPsec隧道访问对端路由器的内网管理地址。

从逻辑上来说，IPSec隧道虽然在公网传输，但其承载的流量实际上是加密的内网数据。为了满足需求，是否可以在关闭外网访问权限的前提下，允许通过IPSec隧道访问对端的内网路由器管理地址？也就是对流量进行区分，以确保仅限于内网访问。

同理 也希望能够在关闭  “高级应用”>“UDPXY设置”中的外网访问功能时通过ipsec 进行内网访问，可以防止业务被外部滥用。

xibanya

第一点逻辑上是没有问题的。关闭了“远程访问”中的外网访问权限，将无法通过IPsec隧道访问对端路由器的内网管理地址

通过wan侧接口参加的转发均叫做“外网”  ，因为对于它来说，不是能通过lan可达的。

建立ipsec后，A去访问B，查找路由表，把流量送给wan口，命中ipsec感兴趣流后（即对端内网），再进行封装

对于A来说，这个过程就是去访问外部网络。同理，B回应也是这个过程

xibanya

补充一条说明
查找路由，其实路由本身没有对端内网明细路由，进行迭代查询就交给缺省路由。因此这个过程实质视为外网

消息来自爱快e云

micahfy

xibanya 发表于 2024-10-11 17:31第一点逻辑上是没有问题的。关闭了“远程访问”中的外网访问权限，将无法通过IPsec隧道访问对端路由器的内 ...

说过了， 逻辑明白，现在是需求功能，给ipsec 等隧道流量单独加个选项