1689520707,执笔画卿颜 执笔画卿颜 八段 粉丝：11人 关注：4人

问题描述：

IPSec VPN 主模式。

 

要实现：两端私网IP可以互访。 也要实现各自私网ip可以上网。是不是要配置nat穿越？如何配置？

组网及组网描述：

4小时前提问

主模式也可以，主要是看出口是拨号还是固定IP，一端固定地址，一端拨号用野蛮模式

两端都是固定IP，用点到点模式

4小时前回答

两端都是固定IP。 主要是私网IP要访问百度上网啊

执笔画卿颜

按照典型配置就行啊，先写一条拒绝的感兴趣数据流应用在接口前，在写一条允许的acl放在接口下，这样就可以了

z6Kl9

不需要，nat后面拒绝两端的私网地址就可以，这样上网的流量不会匹配到nat 后面的acl策略

4小时前回答

私网IP要访问百度上网啊

执笔画卿颜

对呀，所以nat acl后面要写名字的原目地址呀，你上网的流量原地址是私网，目的地址是外网，又不会被匹配到去走ipsec

答了我也不会

1、不是的，nat穿越指的是vpn的设备在出口设备，也就是NAT设备后面，才叫nat穿越

2、你这个只需要修改nat里面匹配的acl就行了

2小时前回答

你正在内容来源：知了社区,nat穿越