甲方有些業務系統出于安全需要，會綁定登錄的IP地址只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業務系統，也必須走總公司的寬帶才可以。在如何實現分公司訪問指定地址的時候走總部流量一(yi)文中，我們介紹(shao)了通(tong)過(guo)PPTP來實現分(fen)公(gong)司(si)(si)走(zou)總公(gong)司(si)(si)線路(lu)的(de)解決(jue)方案(an)。本文中，我將(jiang)介紹(shao)Openvpn的(de)實現方案(an)，openvpn不(bu)需(xu)要(yao)(yao)GRE協議(yi)，穿透性和安全性都比PPTP要(yao)(yao)強大。以下(xia)是具體的(de)配置步驟：

1. 服務端的配置

在總(zong)部的WSG上面，需要開(kai)啟OpenVPN服務端(duan)，選擇用戶名(ming)認(ren)證，推送路由里面既要推送總(zong)部的內網網段，也要推送甲方(fang)系統(tong)的IP地址。如下圖：

在“賬號(hao)配置”中添加本地(di)賬號(hao)，并且(qie)勾選VPN權限。

在“OpenVPN服務端”的(de)客(ke)戶(hu)端網段配置中，需要配置該客(ke)戶(hu)端用(yong)戶(hu)名對應的(de)客(ke)戶(hu)端內(nei)網網段。

2. 客戶端的配置

在分部的(de)WSG網關上，需(xu)要開(kai)啟“Openvpn客戶端”模塊，先(xian)導(dao)入服務端的(de)ca證(zheng)書（可(ke)以在總部WSG的(de)openvpn服務端的(de)“CA證(zheng)書”中下載）

添(tian)加(jia)服(fu)務(wu)端(duan)，配(pei)置服(fu)務(wu)端(duan)IP地(di)址、端(duan)口、用(yong)戶名密碼等信息。

保存并且應用(yong)新配(pei)置后，就可以連(lian)上了(le)。我們可以通過“命(ming)令(ling)行”中的“route”命(ming)令(ling)查(cha)看路由表，檢查(cha)服務端(duan)的推送路由有沒有生效。成功撥入后，路由表可以看到服務端(duan)推送的路由規則。

3. 服務端的防火墻規則

Openvpn客戶(hu)端撥入后，適用于服務(wu)端的(de)“外(wai)網-轉發”方向的(de)防(fang)火墻規(gui)則。要允許(xu)對端的(de)IP地址(zhi)訪問外(wai)網甲方系統(tong)，還需要通過(guo)防(fang)火墻規(gui)則來允許(xu)。如下圖：

經過上(shang)述配置(zhi)后，分部(bu)的電(dian)腦無需任(ren)何設置(zhi)，開(kai)機即可通過總部(bu)線路訪問綁定(ding)的甲方系統。

注意事項：

1). openvpn不但實現了(le)訪問甲方系(xi)統，而且實現了(le)兩地組網(wang)。如果之(zhi)前還(huan)有組網(wang)的(de)ipsec隧道，需要刪(shan)除掉，否則會導致openvpn不能(neng)互通。

2). 防火墻策略中會根據配置自動生成“Allow-OpenVPN-Inbound”，這條策略是允許openvpn撥入的，請不要修改這條策略。