Общие положения

В ScreenOs есть два способа организовать IpSec тоннель. Точнее два способа запихивать пакеты в тоннель.

Способ раз (так называемый route based vpn):

Создается IPSec тоннель, создается отдельный (виртуальный) интерфейс который привязывается к тоннелю, затем создается маршрут в таблице маршрутизации, который отправляет через этот интерфейс пакеты.

Способ два (так называемый policy based vpn):

Создается IPSec тоннель, создается политика безопасности, в соответствии с которой пакеты, которые идут на IP адреса, находящиеся в удаленной сети, отправляются через тоннель

Route Based VPN:

включаем vpn на внешнем интерфейсе

set zone "untrust" asymmetric-vpn

создаем виртуальный интерфейс

set interface tunnel.3 zone untrust

говорим, что интерфейс без IP и подключен к untrust

set interface tunnel.3 ip unnumbered interface untrust

Создаем IKE-шлюз с именем "sj-office", который будет конектиться на 40.139.112.2 через интерфейс "untrust" к паролем "123456"

set ike gateway "sj-office" address 40.139.112.2 Main outgoing-interface "untrust" preshare "123456"

Создаем VPN соединение "sj-office" через шлюз "sj-office"

set vpn "sj-office" gateway "sj-office" replay tunnel idletime 0 sec-level standard
set vpn "sj-office" monitor optimized rekey

Соединяем VPN и виртуальный интерфейс (т.е. все пакеты, которые будут отправляться в этот интерфейс будут шифроваться и пропихиваться через vpn на другую сторону, на той стороне они будут расшифровываться и выскакивать из такого же виртуально интерфейса)

set vpn "sj-office" id 0x10 bind interface tunnel.3

Создаем маршрут, где указваем, что сеть 192.168.2.0 доступна через виртуальный интерфейс

set route 192.168.2.0/24 interface tunnel.3

Далее нужно еще обратить внимание на правила политики Trust-to-Untrust. если там включен например NAT для всех, то нужно сделать правило для пакетов в сторону сети 192.168.2.0, которое будет разрешать трафик. Поместить это правило следует выше того, которое делает nat для всех.