文章总结： 本文介绍了基于strongSwan的VPN管理系统在NAT穿越场景下的配置，涵盖固定与动态IP情况。通过IKE野蛮模式、ESP协议及灵活身份标识，解决分支无公网IP难题。系统内置看门狗程序联动DPD，支持自动触发SA协商，确保复杂网络下的稳定连接，适合企业分支互联及远程接入。 综合评分： 40 文章分类： 产品介绍,解决方案,网络安全,安全建设,安全工具

IPsec穿越NAT太难？用这个strongSwan管理系统，固定/动态IP分支都能轻松接入

原创

衡水铁头哥

铁军哥

2026年1月15日 07:44 北京

经过不懈努力，我们基于strongSwan的IPsec VPN管理系统，已经成功支持了证书认证（点击即连！最强IPsec VPN管理系统终于能小白式操作了），并且可以作为VPN网关来使用（从点到网！我们的strongSwan管理系统支持网关模式了，可作中心枢纽互联多分支）。

在上个案例中，我们介绍的案例比较粗糙，适用于两端都具有公网IP地址的场景。理想很丰满，现实很骨感。但在实际使用中，面对分支机构、居家办公、移动设备等场景，可能大部分设备都不具备公网IP地址，或者是通过NAT映射配置的公网IP地址（浮动IP地址），这个时候该怎么配置互联呢？

今天，我就来演示一下这两种场景。测试组网如下所示：

其中：

VPN_GW、SPOKE1、SPOKE2三台设备均部署了基于strongSwan的IPsec VPN管理系统，SPOKE1和SPOKE2位于NAT设备后面，不具备公网IP地址，需要通过NAT设备CT、CU访问VPN_GW。需要实现PC1和PC2之间的互访。

接下来，我们先配置VPN_GW，新建一个到SPOKE1的IPsec连接。

相比于两端都有公网IP地址的情况，穿越NAT设备时，最重要的一点就是协商模式要选择【Aggressive/野蛮模式】（采用IKE野蛮模式建立保护IPv4报文的IPsec隧道）。此外，对端IP地址配置为SPOKE1经过NAT设备转换后的IP地址。

当然，这里的本端ID和对端ID，我们没有填写，因为留空的情况下，默认会带入两端的IP地址。

在二阶段配置中，本端网段和对端网段正常配置；安全协议只能选择【ESP】，因为AH协议无法穿越NAT设备（天翼云研发告诉我：AH封装的IPsec不能穿越NAT设备）。

这样，我们就配置好了VPN_GW到SPOKE1的IPsec连接。

接下来，我们配置SPOKE1到VPN_GW的IPsec连接。

注意，在一阶段配置中，本端IP地址无法使用设备上不存在的IP地址，所以我们要使用真实的接口IP地址10.11.1.1。而本端ID要与VPN_GW上配置的对端ID相对应，我们填入NAT设备转换后的IP地址124.2.17.2。同样的，对端ID留空则自动带入对端IP地址，可以不管。

同样的，二阶段配置中的本端网段和对端网段正常配置就可以了。

这样，VPN_GW和SPOKE1之间的IPsec连接就创建好了。

但是，我们还要考虑另外一种情况，那就是常见的家庭宽带拨号，NAT之后地址我们一般是无法预料的，此时该怎么办呢？

参考之前H3C设备的配置方法（多分支NAT穿越场景下通过POP节点实现分支间的IPsec加密互联），我们可以引入FQDN，也就是指定本端ID和对端ID。

接下来，我们创建VPN_GW和SPOKE2之间的IPsec连接。

这次，我们先配置SPOKE2设备。

跟SPOKE1设备的配置类似，我们需要将本端IP地址指定为设备上的IP地址10.44.1.4，对端IP地址使用VPN_GW的公网IP地址124.221.107.98。注意：本端ID我们手工指定为spoke2，对端ID手工指定为vpngw，协商模式选择【Aggressive/野蛮模式】。

同样的，二阶段配置中的本端网段和对端网段正常配置就可以了。

最后，我们来配置VPN_GW到SPOKE2的IPsec连接。

需要注意一阶段配置部分，因为SPOKE2的公网IP地址不固定，所以我们用%any匹配所有IP地址。本端ID和对端ID与SPOKE2设备上的配置相对应，协商模式选择【Aggressive/野蛮模式】。

同样的，二阶段配置中的本端网段和对端网段正常配置就可以了。

因为我们是反着配置的，正常是建议先配置VPN_GW设备，再配置SPOKE2设备，这样可以自动触发IPsec协商。

但是，我们针对这个问题做了一个看门狗程序，跟DPD检测做了联动，在DPD保持启用的情况下，会以DPD的探测间隔自动触发SA协商。

这样，无论先配置IPsec连接的哪一端，都能正常自动触发IPsec SA的协商建立。

通过以上实战，我们看到，凭借三大法宝：野蛮模式、灵活的身份标识（IP/FQDN）以及自动化的连接恢复机制，我们基于strongSwan的IPsec VPN管理系统能够轻松应对各种复杂的网络环境。无论是企业分支互联、员工远程接入，还是物联网设备上线，都能找到合适的配置模型。这么智能化的管理系统，怎能叫人不喜欢呢？

你的网络环境中，还有哪些奇葩的接入场景？欢迎在评论区提出，我们一起探讨解决方案！

***推荐阅读***

无需公网IPv4！手把手教你配置基于IPv6的WireGuard安全隧道

基于IPv6配置openVPN实战：告别双栈难题，一步打通IPv6隧道！

腾讯云隐藏福利：如何通过一键操作白嫖CPU升级？性能飙升

openVPN进阶技巧：如何实现从服务端反向访问客户端内网？

OpenVPN管理竟能如此简单？实时监控、固定IP、强制下线，运维效率翻倍

OpenVPN管理迎来终极形态：支持6种多因子认证，安全等级拉满，运维效率飙升！

从点到网！我们的strongSwan管理系统支持网关模式了，可作中心枢纽互联多分支

低成本玩转SDN：实测OpenDaylight资源消耗仅1.1GB，完美纳管华为设备，开源方案真香！

超越SR-MPLS！SRv6实测：基于纯IPv6数据面承载IPv4 VPN业务，体验协议简化之美

2048卡昇腾910C集群RoCEv2算力网建设方案

2048卡昇腾910C集群存储网建设方案

2048卡昇腾910C集群智算中心：业务网深度建设与实施方案

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：铁军哥 衡水铁头哥《IPsec穿越NAT太难？用这个strongSwan管理系统，固定/动态IP分支都能轻松接入》