甲方有些業(yè)務系統(tǒng)出于安全需要，會綁定登錄的IP地址只允許總公司的IP訪問。這種情況下，分公司如果想要訪問該業(yè)務系統(tǒng)，也必須走總公司的寬帶才可以。在如何實現分公司訪問指定地址的時候走總部流量一文中，我們介紹了通過PPTP來實現分公司走總公司線路的解決方案。本文中，我將介紹Openvpn的實現方案，openvpn不需要GRE協(xié)議，穿透性和安全性都比PPTP要強大。以下是具體的配置步驟：

1. 服務端的配置

在總部的WSG上面，需要開啟OpenVPN服務端，選擇用戶名認證，推送路由里面既要推送總部的內網網段，也要推送甲方系統(tǒng)的IP地址。如下圖：

在“賬號配置”中添加本地賬號，并且勾選VPN權限。

在“OpenVPN服務端”的客戶端網段配置中，需要配置該客戶端用戶名對應的客戶端內網網段。

2. 客戶端的配置

在分部的WSG網關上，需要開啟“Openvpn客戶端”模塊，先導入服務端的ca證書（可以在總部WSG的openvpn服務端的“CA證書”中下載）

添加服務端，配置服務端IP地址、端口、用戶名密碼等信息。

保存并且應用新配置后，就可以連上了。我們可以通過“命令行”中的“route”命令查看路由表，檢查服務端的推送路由有沒有生效。成功撥入后，路由表可以看到服務端推送的路由規(guī)則。

3. 服務端的防火墻規(guī)則

Openvpn客戶端撥入后，適用于服務端的“外網-轉發(fā)”方向的防火墻規(guī)則。要允許對端的IP地址訪問外網甲方系統(tǒng)，還需要通過防火墻規(guī)則來允許。如下圖：

經過上述配置后，分部的電腦無需任何設置，開機即可通過總部線路訪問綁定的甲方系統(tǒng)。

注意事項：

1). openvpn不但實現了訪問甲方系統(tǒng)，而且實現了兩地組網。如果之前還有組網的ipsec隧道，需要刪除掉，否則會導致openvpn不能互通。

2). 防火墻策略中會根據配置自動生成“Allow-OpenVPN-Inbound”，這條策略是允許openvpn撥入的，請不要修改這條策略。