Branch Office VPN > 配置网关 > 如果 XTM 设备位于进行 NAT 的设备后面
如果 XTM 设备位于进行 NAT 的设备后面
XTM 设备就能够使用 NAT 穿越。 也就是说,如果 ISP 可支持 NAT(网络地址转换),或者 XTM 设备外部接口已连接至支持 NAT 的设备,那么可以建立 VPN 隧道。 我们建议 XTM 设备接口应该具有公用 IP 地址。 如果无法实现,请按下面的说明进行操作。
支持 NAT 的设备通常都具有一些基本的防火墙功能。 如果 XTM 设备安装于支持 NAT 的设备后面,那么要建立连接至 XTM 设备的 VPN 隧道,此 NAT 设备必须允许流量通过。 在 NAT 设备上,以下端口和协议必须开放:
- UDP 端口 500 (IKE)
- UDP 端口 4500(NAT 穿越)
- IP 协议 50 (ESP)
关于如何在 NAT 设备上打开这些端口和协议,请参阅 NAT 设备文档来获取详细信息。
如果 XTM 设备的外部接口具有专用 IP 地址,则在第 1 阶段设置中,不能将 IP 地址用作本地 ID 类型。
- 如果与 XTM 设备相连接的 NAT 设备有一个动态公用 IP 地址:
- 首先,将设备设置为“桥接模式”。 有关详细信息,请参阅桥接模式。 在桥接模式下,XTM 设备可以获取其外部接口上的公用 IP 地址。 要获取更多信息,请参阅 NAT 设备的相关文档。
- 在 XTM 设备上设置动态 DNS。 有关信息,请参阅关于 动态 DNS 服务。 在 Manual VPN 的第 1 阶段设置中,将本地 ID 类型设置为“域名”。 输入 DynDNS 域名作为本地 ID。 远程设备必须能够通过域名识别 XTM 设备,并且在第 1 阶段配置中必须使用与 XTM 设备关联的 DynDNS 域名。
- 如果与 XTM 设备相连接的 NAT 设备有一个静态公共 IP 地址 - 在 Manual VPN 的“第 1 阶段设置”中,将本地 ID 类型下拉列表设置为“域名”。 输入分配给 NAT 设备外部接口的公用 IP 地址作为本地 ID。 远程设备必须能够通过域名识别 XTM 设备,并且在第 1 阶段配置中必须使用与域名相同的公用 IP 地址。