流控分流提议

wuhantony

1.在流控分流---端口分流中外网线路只有wan、pptp、l2tp、openvpn选项，希望加入ipescvpn连接的选项，其他vpn流量实在不稳定。2.在流控分流---端口分流中，下一条网关的分流方式，网关填写ipsecvpn的对端网关，分流不生效，希望能解决一下。

xibanya

ipsec vpn又没有逻辑上的tunnel接口。。。要把去公网的送到对端去，可以试下定义对端网段为127.0.0.0/1 128.0.0.0/1

wuhantony

xibanya 发表于 2023-10-16 17:25ipsec vpn又没有逻辑上的tunnel接口。。。要把去公网的送到对端去，可以试下定义对端网段为127.0.0.0/1 128 ...

没有看懂，能详细说下么

xibanya

wuhantony 发表于 2023-10-16 17:54没有看懂，能详细说下么

ipsec匹配的是“感兴趣流”——即，当报文到达路由器后，需要匹配报文的“源”和“目标”IP决定是否进行ESP封装
ik里面，感兴趣流的源IP值得就是本端子网，目的IP指的就是”对端子网“

假设A，B，已经建立了IPSEC，A子网为192.168.10.0/24   此时希望A下面的设备访问公网，能够把数据送给B去转发

就在A下面定义，本端子网”192.168.10.0/24“；对端子网127.0.0.0/1，以及128.0.0.0/1

（1）127.0.0.0/1对应0.0.0.0-127.255.255.255范围     128.0.0.0/1对应128.0.0.0-255.255.255.255范围

（2）全世界路由器IP路由表转发的相同规则，掩码最长匹配。即A下面去往公网的流量，到达A后，会匹配上A上面配的感兴趣流，进行ESP封装后把数据送到B
（3）数据到达B后，解掉外层封装，露出原始的报文，B查找去往公网的路由表（B的缺省路由），进行NAT后送出wan口

（4）回包同上，公网数据返回B后，根据B上已经建立的nat会话，进行目的nat和端口转换后，，目的nat替换成192.168.10.xx

B应该配置本端子网为0.0.0.0/0 匹配所有源地址，对端子网192.168.10.0/24   

这时候，B就可以把数据送回给A