甲方有些業(yè)務(wù)系統(tǒng)出于安全需要，會(huì)綁定登錄的IP地址只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業(yè)務(wù)系統(tǒng)，也必須走總公司的寬帶才可以。在如何實(shí)現(xiàn)分公司訪問指定地址的時(shí)候走總部流量一文中，我們介紹了通過PPTP來實(shí)現(xiàn)分公司走總公司線路的解決方案。本文中，我將介紹Openvpn的實(shí)現(xiàn)方案，openvpn不需要GRE協(xié)議，穿透性和安全性都比PPTP要強(qiáng)大。以下是具體的配置步驟：

1. 服務(wù)端的配置

在總部的WSG上面，需要開啟OpenVPN服務(wù)端，選擇用戶名認(rèn)證，推送路由里面既要推送總部的內(nèi)網(wǎng)網(wǎng)段，也要推送甲方系統(tǒng)的IP地址。如下圖：

在“賬號(hào)配置”中添加本地賬號(hào)，并且勾選VPN權(quán)限。

在“OpenVPN服務(wù)端”的客戶端網(wǎng)段配置中，需要配置該客戶端用戶名對(duì)應(yīng)的客戶端內(nèi)網(wǎng)網(wǎng)段。

2. 客戶端的配置

在分部的WSG網(wǎng)關(guān)上，需要開啟“Openvpn客戶端”模塊，先導(dǎo)入服務(wù)端的ca證書（可以在總部WSG的openvpn服務(wù)端的“CA證書”中下載）

添加服務(wù)端，配置服務(wù)端IP地址、端口、用戶名密碼等信息。

保存并且應(yīng)用新配置后，就可以連上了。我們可以通過“命令行”中的“route”命令查看路由表，檢查服務(wù)端的推送路由有沒有生效。成功撥入后，路由表可以看到服務(wù)端推送的路由規(guī)則。

3. 服務(wù)端的防火墻規(guī)則

Openvpn客戶端撥入后，適用于服務(wù)端的“外網(wǎng)-轉(zhuǎn)發(fā)”方向的防火墻規(guī)則。要允許對(duì)端的IP地址訪問外網(wǎng)甲方系統(tǒng)，還需要通過防火墻規(guī)則來允許。如下圖：

經(jīng)過上述配置后，分部的電腦無需任何設(shè)置，開機(jī)即可通過總部線路訪問綁定的甲方系統(tǒng)。

注意事項(xiàng)：

1). openvpn不但實(shí)現(xiàn)了訪問甲方系統(tǒng)，而且實(shí)現(xiàn)了兩地組網(wǎng)。如果之前還有組網(wǎng)的ipsec隧道，需要?jiǎng)h除掉，否則會(huì)導(dǎo)致openvpn不能互通。

2). 防火墻策略中會(huì)根據(jù)配置自動(dòng)生成“Allow-OpenVPN-Inbound”，這條策略是允許openvpn撥入的，請(qǐng)不要修改這條策略。