[求助] ipsce site to site VPN

引用:                                                                                                                                作者: liuzuen                                                                                                                                                                                                        1、NAT 关系。
" q) M8 k+ M) ]% i+ E/ O 2、192.168.1.2、192.168.1.3 相当于是放置在内网DMZ区的两台服务器。由 172.168.1.2 做静态映射出来。                                                                                                                那对方直接访问公网地址172.168就可以了吧，和site-to-site vpn应该没关系了

引用:                                                                                                                                作者: wxpryj                                                                                                                                                                                                        那对方直接访问公网地址172.168就可以了吧，和site-to-site vpn应该没关系了                                                                                                               
不。172.168.1.0段是我这边的一个内部地址段，为了保护192.168.1.1 192.168.2.0两台服务器。统一由 172.168.1.2 这台设备做NAT发布。
0 v* b3 v7 G% I. P  W6 F
172.168.1.0段的其它都可以通 172.168.1.2 正常访问 NAT后的这两台服务器。

: L( r4 s2 |6 ?' n6 K" {* {4 C并且对方也可以通过 VPN 访问 172.168.1.0段内的其它服务，包括FILE SERVERWEB，唯独 172.168.1.2发布的服务就不行。

虽然这个比较复杂也麻烦，但上面要求这样子，没有办法。

在172.168.1.2和192.168.1.2、192.168.1.3上抓包，是否有对方过来的流量，以及发出的流量。

为了表达更加清楚，我贴出网络拓扑图。
如下所示：

最近一直在不停的做相关的调测。
% M# ?0 n2 P  l" U) m- T! @
3 \. l8 \3 W5 `6 {; n1 S& |% K因在路由器上也进行了静态NAT。
  ip nat inside source static tcp 172.168.1.2 25  *.*.*.*  25 extendable

当我在路由器上取消这条NAT时，对方局域网的人员就可以TELNET 进来了。
" e1 H7 B# H1 h4 c$ v, j! g$ C2 z
& ~- z9 S' H2 Y. o! E' O( P, L不知道是什么原因。
3 R1 I/ f$ y$ A暂进的解决办法：
- ]4 g2 M/ |$ t7 L7 ~  在mail server上针对pop3和smtp 新建两个端口，供对方来连接。

不错不错，楼主您辛苦了。。。

学习了，不错，讲的太有道理了

这是什么东东啊

写的真的很不错