IPSEC 客户端工作在传输模式还是隧道模式？

正在研究ipsec的VPN产品。如果异地的两个LAN想互联，可以使用IPSEC 隧道模式的gateway。但是对于公司的移动用户，是不是IPSEC不能解决这个问题？移动用户怎么和公司的IPSEC 隧道模式的服务器建立IPSEC连接？现有的VPN产品都会提供一个VPN client安装在移动Windows系统中，这个client的实现原理是什么？如果是PPTP或是L2TP server，还比较好理解。但是对于IPSEC，怎么解决这个移动client？有人说IPSEC client也是工作在隧道模式，这个我不是很明白，我理解隧道模式要有一个gateway，但是单机怎么配置gateway？具体是怎么做的？请大家给指点一下。

谢谢！

它就用自己的IP地址封装不就可以了嘛

子网内部IP与网关之间可以建立隧道模式，但是一般都是传输模式就可以了，因为这种情况下无需加新的IP头，但是网关到网关一般都是隧道模式，因为要加新的IP头嘛，至于透过网关实现内部IP与外部IP通信的话，我觉得隧道模式会安全性更高一些吧。

谢谢回答！如果是两个单机建立VPN，完全可以使用传输模式。但是如果移动用户于VPN gateway建立，使用传输模式，此用户能访问ＶＰＮ server 后LAN内的PC吗？

查找了一下，发现Freeswan称此种连接为road warrior。但是是怎么实现的还没有仔细看。

有的资料说VPN隧道中单机和LAN是一样的。我就是象问一下开发过VPN client的牛人，VPN client是不是要虚拟一个网卡。设置公司LAN中的保留IP地址。如果是这样，我就可以明白client使用隧道模式的连接方式了。其实client也建立了一个VPN LAN，只是LAN中只有一个PC。有点类似PPP连接RAS server。

不知道我理解的对不对。IPSEC可以这样使用吗？

Client不一定需要这么一个虚拟网卡的啊！不要也可以啊！
我写的VPN的Client就工作在隧道模式下，并且没有使用细腻网卡的

谢谢你的回答。能不能讲一下你的这个vpn client的工作原理？
安装了之后pc机器是不是要增加一个IP地址？

春节好久没有上来了，^_^
大家新年好！
其实client不需要另外一个IP地址的，此时封装IPSEC包的时候，IPSEC包的源地址使用client本身的IP地址，IPSEC包的目的地址使用server的IP地址，这样就可以实现了！！

如果认为我的回答还可以的话，给点分数吧，兄弟！！！！！！

谢谢回答。如果client只是使用一个公开的IP地址，可以连接到LAN中的VPN server，但是LAN中的PC怎么访问这个client？是不是应该给一个LAN内的私有IP地址？

不需要啊！只要VPN SERVER知道相应的路由信息就可以了！
顺便说一句：VPN SERVER可以工作在路由器模式下或是网桥模式下，不管在那种模式下，LAN中PC的路由正确就可以了