我们正在更换 ISP,但新公司在最后一刻拒绝设置我们当前拥有的关键 VPN 隧道。
数据通过一条线路进入我们的办公室,进入 ISP 控制的防火墙,然后从那里进入我们的交换机组。目前,该防火墙具有 VPN 设置,可以创建一条通往托管我们网站服务器的第三方办公室的隧道,允许我们本地网络上的任何计算机与 Web 服务器通信,而无需在每个服务器上设置任何内容。
新的 ISP 拒绝创建 VPN,除非他们在两端都有自己的硬件。我有没有办法从他们的防火墙“内部”设置 VPN,以便我们能够拥有相同的功能?
答案1
仅当 ISP 管理的防火墙配置为 VPN 直通时,您才可以通过该防火墙运行 ipsec VPN。这需要允许以下流量:
Internet 协议安全 (IPSec) 使用 IP 协议 50 进行封装安全协议 (ESP),使用 IP 协议 51 进行身份验证标头 (AH),使用 UDP 端口 500 进行 IKE 第 1 阶段协商和第 2 阶段协商。如果 IKE 第 1 阶段协商和第 2 阶段协商使用 NAT-T,则使用 UDP 端口 500 和 4500 http://kb.juniper.net/InfoCenter/index?page=content&id=KB5671