VLAN网段无法进行IPSEC VPN连接的问题

xthxwh

大侠好，环境是这样的。WAN：专线固定IP     LAN 10.10.10.1/24       爱快VLAN设置了2个，分别为VLAN19（192.168.200.0/24）和VLAN21（192.168.201.0/24）


LAN口下接二层交换机的第24口（thunk模式并允许通过所有VLAN），交换机同样划分VLAN19和VLAN21，现在两个VLAN下的电脑都可以正常上网。  
问题：我们需要和总公司进行IPSEC VPN互联，在建立VPN界面，本地网段只能填写10.10.10.0/24才能连接上VPN，但是VALN19和21的网段都没办法通过VPN和总部互通，如果在建立VPN界面填写VLAN19和21的网段，VPN压根就连不上。



请问这种情况有解决办法吗？谢谢！

xibanya

本地子网填写0.0.0.0/0  即任意源地址，去往目标地址192.168.19.0/24时进行ipsec封装

爱快技术支持01

楼主可参考楼上建议进行测试

xthxwh

这种方式已经试过了，还是不行。只有本端 的本地地址填写LAN口10.10.10.0网段时才能连接上VPN，但是两个VLAN的网段过不了VPN。。。
下图为我分公司设置：

下图是总公司设置：

xibanya

xthxwh 发表于 2023-2-1 09:59
这种方式已经试过了，还是不行。只有本端 的本地地址填写LAN口10.10.10.0网段时才能连接上VPN，但是两个VLA ...

实在不行改open vpn？也是加密传输

xibanya

xthxwh 发表于 2023-2-1 09:59
这种方式已经试过了，还是不行。只有本端 的本地地址填写LAN口10.10.10.0网段时才能连接上VPN，但是两个VLA ...

反正对端也是爱快，如果分支源任意也无法进行ipsec封装，那可以试下oepn vpn
总部作为服务端。推送总部局域网路由。 分支作为客户端

总部新建一个认证账户，使用一个在ovpn地址池内的固定地址，例如10.7.7.100 分配给这个账户

如果只需要分支主动访问总部网段，分支拨号即可

如果需要总部主动访问分支的网段，总部上添加对应的静态路由，下一跳指向10.7.7.100

xthxwh

xibanya 发表于 2023-2-1 10:31
反正对端也是爱快，如果分支源任意也无法进行ipsec封装，那可以试下oepn vpn
总部作为服务端。推送总部局 ...

谢谢你哈，我们各分公司都是用IPSEC连接的，OPEN VPN的方式暂时不可行。 看来爱快对于这种二层VLAN不带路由功能的交换机，IPSEC VPN是不能用了。。。

xthxwh

爱快技术支持01 发表于 2023-2-1 08:54
楼主可参考楼上建议进行测试

目前还是不行，还有别的办法吗？目前就是LAN 10.10.10.0可以连上VPN，如何让VLAN 的网段也能走VPN呢。。。

xibanya

xthxwh 发表于 2023-2-1 13:39
目前还是不行，还有别的办法吗？目前就是LAN 10.10.10.0可以连上VPN，如何让VLAN 的网段也能走VPN呢。。。 ...

倒是还有一个办法。。。

爱快的lan如果修改影响小的话，修改掉lan地址

lan地址改成 192.168.203.1/24

然后ipsec那里，本地子网写192.168.200.0/22 这样就包含了源192.168.200.x-192.168.203.254的地址范围

xthxwh

xibanya 发表于 2023-2-1 14:11
倒是还有一个办法。。。

爱快的lan如果修改影响小的话，修改掉lan地址

LAN口随便改。。。因为电脑的IP都是VLAN的网段，和LAN口没啥关系。你这个办法倒是可行，但是就把VPN的网段扩大话了，不过可以用ACL做下阻止限制。谢谢你哈。就是不知道啥时候爱快支持VLAN网段也走IPSEC VPN，就简单多了。感谢您的回答！