请教一下，是否在建立了VPN链接之后，所有通过VPN的数据都被封装进了IPSec之类的数据包，所以，只需要在防火墙上开启IPsec之类的端口就可以了？ 在设置NAT的时候，有什么需要注意的？ 菜鸟问题，希望大家能指教一下，谢谢。

帮你顶,这个还真得不知道啊~~~~~~~~~~~~

谢谢，希望有大大能指点下，这个问题一直困扰着我，苦于没有设备，无法做实验。

保证isakmp和ipsec打开

一般而言,需要IPSEC VPN设备支持穿透NAT

再请教一下，如果在这样的情况下， Firewall - Router - Internet, 在router上做NAT, 在Firewall上做VPN, 需要在两个机器上怎么设置 ACL? 穿透NAT的话，是Firewall需要支持还是Router, 如果是在Router上做VPN的话，设置上和Firewall有什么不同？
谢谢。

如果是我的话，有两种方法，一种是把防火墙配置成路由模式，和路由器并联在ISP的公网网段，路由器只做NAT,防火墙只做Dial-up VPN接入, 路由器的内网接口和防火墙的trust口都接到内网的交换机上，这样就避免了NAT和IPSEC在一条通路上的问题，配置也很简单，只是需要ISP再提供一个公网IP。另外一种是将防火墙配置为网桥模式放到路由器之前，而在路由器上同时做dial-up VPN接入和NAT,我在cisco路由器上做过这样的配置，这样的好处是保留了防火墙的入侵检测功能。

非常感谢楼上的仁兄。

第二种设置方式的话，是不是说，用同一台路由器做NAT和VPN的话，就不需要考虑支持穿透NAT? 还有一个问题，如果是做点对点的VPN，有没有什么不同。 路由器或者在前端的防火墙只开启isakmp和ipsec的端口是不是就可以在VPN通道内使用所有类型的协议和端口而不需要在防火墙上另行设置。 因为小弟以前只用过D-link的产品，现在的公司要全用Cisco的，所以很罗嗦，麻烦大家了。

ike协商模式设置为野蛮模式
则可以穿透nat网关！
数据是否加密则要看你定义的acl了！

:victory: :victory: