一、简介

一般情况下站对站 VPN 是用 cisco、juniper、h3c等品牌的专业设备实现的，这些设备性能可靠，价格较贵。

如果现有设备不支持，而且不能用新设备替换，或者部门预算有限，那么只能用其它方法了。

下面的方案就是基于 OpenVPN 实现的，它不用更换设备、不会增加成本，对于上面的情况再合适不过了；设置完成后，两地内网里的任意主机可以互访。

（可以通过iptables进行权限控制）

二、基本情况

1. 总公司

外网IP地址：固定地址

内网网络：172.31.0.0/16

核心交换机：Cisco3560（支持路由）

2. 分公司

外网IP地址：DHCP

内网地址：192.168.0.0/16

核心交换机：Cisco3560（也可以换成家用路由器，一两百元都可以，关键要支持路由设置，当然最好买质量好的）

3. 拓扑图

三、方案设计

1. 总部配置
1) VPN服务器
启用ipv4_forward

iptables启用POSTROUTING
-A POSTROUTING -o eth0 -j MASQUERADE

添加系统路由
route add -net 192.168.0.0 netmask 255.255.0.0 dev tun0

设置访问分部的路由
server.conf，加入：
route 192.168.0.0 255.255.0.0 10.0.0.6

ccd文件加入：
iroute 192.168.0.0 255.255.0.0

2) 核心交换机
增加下述路由
ip route 192.168.0.0 255.255.0.0 172.31.17.120

2. 分部配置
1) VPN主机
建立CentOS Linux
安装OpenVPN客户端、iptables

启用ipv4_forward

iptables启用POSTROUTING
-A POSTROUTING -o eth0 -j MASQUERADE

2) 三层交换机或者家用路由器
增加下述路由
ip route 172.31.0.0 255.255.0.0 192.168.1.125 1