Branch Office VPN > 为所有 Internet 流量定义路由

为所有 Internet 流量定义路由

要允许远程用户通过 VPN 隧道访问 Internet,最安全的设置是要求所有远程用户的 Internet 流量都通过 VPN 隧道路由至 XTM 设备。 然后再从 XTM 设备将流量发送回 Internet。 尽管使用此配置(被称为集线器路由或默认路由 VPN)会加大 XTM 设备的处理负担并占用更多带宽,但是 XTM 设备能够检查所有流量,而且安全性也更高。 使用默认路由 VPN 时,动态 NAT 策略必须包括来自远程网络的传出流量。 这样,远程用户可以在将所有流量发送到 XTM 设备时浏览 Internet。

在定义通过 BOVPN 隧道的默认路由时,必须执行以下三个步骤:

在开始执行此主题中的步骤之前,请务必已在中央和远程 XTM 设备之间创建了一个手动分支机构 VPN。 关于如何创建的信息,请参阅“关于手动分支机构 VPN 隧道”。

在远程 XTM 设备上配置 BOVPN 隧道

  1. 登录到远程 XTM 设备上的 Web UI。
  2. 选择“VPN”>“分支机构 VPN”查找连接到中央 XTM 设备的隧道的名称,然后单击“编辑”
    将显示“隧道”页面。
  3. 单击“添加”
    将显示“隧道路由设置”对话框。
  1. “本地 IP”下的“本地 IP”文本框中,键入远程 XTM 设备的可信任网络地址。
  2. 在“远程 IP”下的“选择类型”下拉列表中,选择“网络 IP”。 在“主机 IP”文本框中,键入 0.0.0.0/0 并单击“确定”
  3. 选择任一其他连接到中央 XTM 设备的隧道,然后单击“删除”
  4. 单击“保存”来保存对配置所作的更改。

在中央 XTM 设备上配置 BOVPN 隧道

  1. 登录到中央 XTM 设备上的 Web UI。
  2. 选择“VPN”>“分支机构 VPN”查找连接到远程 XTM 设备的隧道的名称,然后单击“编辑”
    将显示“隧道”页面。
  3. 单击“添加”
    将显示“隧道路由设置”对话框。
  4. 在“本地 IP”下的“选择类型”下拉列表中,选择“网络 IP”。 在“主机 IP”文本框中,键入 0.0.0.0/0.
  5. “远程 IP”下方,键入远程 XTM 设备的可信任网络地址,然后单击“确定”
  6. 选择任意其他连接到远程 Firebox 的隧道,然后单击“删除”
  7. 单击“保存”来保存对配置所做的更改。

在中央 XTM 设备上添加一项动态 NAT 条目

要允许拥有专用 IP 地址的计算机通过 XTM 设备访问 Internet,则必须配置中央 XTM 设备以使其使用动态 NAT。 使用动态 NAT 后,XTM 设备会将专用 IP 地址(包含在由受 XTM 设备保护的计算机所发送的数据包中)替换为 XTM 设备自己的公用 IP 地址。 对于下列三个 RFC 批准的专用网络地址,动态 NAT 默认启用并处于活动状态:

192.168.0.0/16 - Any-External
172.16.0.0/12 - Any-External
10.0.0.0/8 - Any-External

当设置通过 Branch Office VPN 隧道连接其他 XTM 设备的默认路由时,如果位于远程 XTM 设备后面的子网 IP 地址不在上面三个专用网络范围内,那么必须要为此子网添加动态 NAT 条目。

  1. 选择“网络”>“NAT”
    此时将显示“NAT”页面。
  1. “NAT”页面的“动态 NAT”部分,单击“添加”
    此时将显示“动态 NAT”配置页面。
  1. “自”部分中,从“成员类型”下拉列表中选择“网络 IP”
  2. “值”字段中键入远程 XTM 设备后面的网络 IP 地址。。
  3. “至”部分,从第二个下拉列表中选择“Any-External”
  4. 单击“保存”

另请参阅

关于动态 NAT

提供反馈  •   获得支持  •   全部产品文件  •   知识库