本文档旨在向您展示如何配置必要设置,以通过RV160或RV260系列路由器连接Shrew Soft VPN客户端。
虚拟专用网络(VPN)是将远程用户连接到安全网络的绝佳方式。它通过Internet等安全性较低的网络建立加密连接。
VPN隧道建立一个专用网络,该专用网络可以使用加密和身份验证安全地发送数据。公司办公室通常使用VPN连接,因为即使员工不在办公室,也允许员工访问其内部资源既有用也有必要。
RV160路由器最多支持10个VPN隧道,RV260最多支持20个。
本文将引导您完成配置RV160/RV260路由器和Shrew Soft VPN客户端所需的步骤。您将学习如何创建用户组、用户帐户、IPsec配置文件和客户端到站点配置文件。在Shrew Soft VPN客户端上,您将学习如何配置General、Client、Name Resolution、Authentication、Phase 1和Phase 2选项卡。
VPN解决许多行业和业务类型常见的实际使用案例场景。下表显示了使用VPN的一些优缺点。
优点 | 缺点 |
提供安全的通信、便利性和可访问性,具有专为员工、承包商或合作伙伴等个人用户定制的访问权限。 | 连接速度可能会变慢。更强的加密需要时间和资源来确保匿名性和安全性。对网络流量进行加密通常需要更多开销。您可能会找到一些VPN提供商,它们在保持匿名和安全性的同时保持良好的连接速度,但它们通常是付费服务。 |
通过扩展企业网络和应用提高工作效率。 | 由于配置错误而导致的潜在安全风险。VPN的设计和实施可能非常复杂。必须委托经验丰富的专业人员来配置您的VPN,以确保您的网络不会受到损害。 |
降低通信成本并提高灵活性。 | 如果出现需要添加新基础架构或新配置集的情况,则可能会因不兼容而出现技术问题,尤其是如果不兼容的产品或供应商与您已经使用的产品或供应商不同。 |
用户的实际地理位置受到保护,不会暴露于公共或共享网络(如Internet)。 | |
保护机密网络数据和资源。 | |
VPN允许添加新用户或用户组,而无需额外组件或复杂的配置。 |
这是一个简单的网络拓扑。
注意:公共WAN IP地址已模糊。
· RV160
· RV260
· 1.0.0.xx(RV160和RV260)
·建议使用2.2.1,因为2.2.2可能与我们的路由器存在连接问题(Shrew Soft VPN客户端下载)
1. 创建用户组
2. 创建用户帐户
3. 配置IPsec配置文件
4. 配置客户端到站点
6. Shrew Soft VPN客户端:General 选项卡
9. Shrew Soft VPN客户端:“身份验证”选项卡
13 个. VPN连接故障排除提示
14. 确认
15. 结论
重要说明:请将默认管理员帐户保留在管理员组中,并为Shrew Soft创建新用户帐户和用户组。如果将管理员帐户移至其他组,则会阻止您登录路由器。
步骤1.登录Web配置页面。
步骤2.导航至System Configuration > User Groups。
步骤3.单击加号图标添加新用户组。
步骤4.在Group Name字段中输入组的名称。
我们将以史鲁软集团为例。
步骤5.按“应用”创建新组。
步骤1.导航至System Configuration > User Accounts。
步骤2.向下滚动到Local Users表,然后按加号图标添加新用户。
步骤3.将打开“添加用户帐户”页。输入用户的用户名。
步骤4.在New Password字段中输入密码。在“确认密码”字段中重新输入相同密码。在本例中,我们将使用CiscoTest123作为密码。
注意:此处使用的密码是一个示例。建议使密码更复杂。
步骤5.在Group 下拉列表中,选择希望用户加入的组。
步骤6.按Apply创建新用户帐户。
步骤1.导航至VPN > IPSec VPN > IPSec配置文件。
注意:有关如何配置IPsec配置文件的详细说明,请点击链接查看文章:在RV160和RV260上配置IPsec配置文件(自动密钥模式)
步骤2.单击加号图标以添加新的IPsec配置文件。
步骤3.在“配置文件名称”字段中输入配置文件的名称。我们将输入ShrewSoftProfile作为我们的简档名称。
步骤4.为键控模式选择“自动”。
步骤5.选择IKEv1或IKEv2作为IKE版本。在本例中,选择了IKEv1。
DH Group:组2 - 1024位
加密 :AES-256
身份验证:SHA2-256
SA生命期:28800
协议选择:ESP
加密 :AES-256
身份验证:SHA2-256
SA生命期:3600
Perfect Forward Secrecy:启用
DH Group:组2 - 1024位
步骤8.单击“应用”以创建新的IPsec配置文件。
步骤1.导航到VPN > IPSec VPN > Client-to-Site。
步骤2.单击加号图标添加新隧道。
步骤3.选中Enable复选框以启用隧道。
第 4 步: 在“Tunnel Name”(隧道名称)字段中输入隧道的名称。
步骤5.在“IPSec配置文件”下拉列表中,选择要使用的配置文件。我们将选择在上一部分创建的ShrewSoftProfile:配置IPsec配置文件。
步骤6.从接口下拉列表中,选择要使用的接口。我们将使用WAN作为连接隧道的接口。
步骤7.在IKE Authentication Method部分下,选择Pre-shared Key或Certificate。我们将使用预共享密钥作为IKE身份验证方法。
注意:IKE对等体通过计算和发送包含预共享密钥的数据的密钥散列来相互验证。如果接收对等体能够使用其预共享密钥独立创建相同的哈希值,则它知道两个对等体必须共享相同的密钥,从而对另一个对等体进行身份验证。预共享密钥扩展不良,因为每个IPsec对等体必须配置其建立会话的所有其他对等体的预共享密钥。
证书使用数字证书,该证书包含诸如证书名称或IP地址、序列号、证书到期日期等信息以及证书持有者的公钥的副本。
步骤8.输入要用于验证的预共享密钥。预共享密钥可以是您希望的任何密钥。在Shrew Soft VPN客户端上配置的预共享密钥必须与配置时的密钥相同。
在本例中,我们将使用CiscoTest123!作为预共享密钥。
注意:此处输入的预共享密钥是一个示例。建议输入更复杂的预共享密钥。
步骤9.从下拉列表中选择本地标识符。以下选项定义为:
·本地WAN IP — 此选项使用VPN网关的广域网(WAN)接口的IP地址
· IP Address — 此选项允许您手动输入VPN连接的IP地址。您需要在站点(办公室)输入路由器的WAN IP地址。
· FQDN — 此选项将在建立VPN连接时使用路由器的完全限定域名(FQDN)。
· User FQDN — 此选项允许您为Internet上的特定用户使用完整的域名。
在本例中,我们将选择本地WAN IP作为本地标识符。
注意:路由器的本地WAN IP将自动填入。
步骤10.在“远程标识符”下拉列表中,选择IP Address、FQDN或User FQDN。然后输入您选择的相应响应。在本例中,我们将选择FQDN并输入test.cisco.com。
步骤11.选中Extended Authentication复选框以启用。这将提供额外的身份验证级别,要求远程用户在获得VPN访问权限之前在其凭证中进行密钥。
如果已启用扩展身份验证,请单击加号图标添加用户组。从下拉列表中选择要用于扩展身份验证的组。我们将选择史鲁软集团。
步骤12.在客户端LAN的池范围中,在“开始IP”和“结束IP”字段中输入可分配给VPN客户端的IP地址范围。这必须是一个地址池,与站点地址不重叠。
我们将输入10.2.1.1作为起始IP,10.2.1.254作为最终IP。
步骤13.(可选)单击Advanced Settings(高级设置)。
步骤14.(可选)您可以在此处指定远程终端IP地址。在本指南中,我们将使用动态IP,因为终端客户端的IP地址不是固定的。
您还可以指定哪些内部资源将在本地组设置下可用。
如果选择“任何”,则所有内部资源都将可用。
您还可以选择使用内部DNS和WINS服务器。为此,您需要在模式配置下指定它们。
您还可以使用全隧道或拆分隧道以及拆分DNS。
向下滚动到“Additional Settings(其他设置)”。选中Aggressive Mode复选框以启用Aggressive模式。主动模式是当IKE SA的协商被压缩为三个数据包,其中所有SA要求数据都由发起方传递时。协商更快,但他们容易以明文交换身份。
注意:有关主模式与主动模式的其他信息,请参阅:主模式与主动模式
在本例中,我们将启用主动模式。
步骤15.(可选)选中Compress(Support IP Payload Compression Protocol(IPComp))复选框,使路由器在开始连接时能够建议压缩。这是一种可减小IP数据报大小的协议。如果响应方拒绝此建议,则路由器不实施压缩。当路由器是响应方时,它接受压缩,即使未启用压缩。
我们将不选中“压缩”。
步骤16.单击Apply添加新隧道。
步骤17.单击Web配置页面顶部的闪烁“保存”图标。
步骤18.将打开Configuration Management页面。在“复制/保存配置”部分,确保“源”字段具有“运行配置”,而“目标”字段具有“启动配置”。然后按应用。路由器当前使用的所有配置都在运行配置文件中,该文件是易失性的,在重新启动后不会保留。将运行配置文件复制到启动配置文件将在重新启动后保留您的配置。
如果您尚未下载Shrew Soft VPN客户端,请点击以下链接下载客户端:用于Windows的Shrew Soft VPN客户端。我们将使用标准版。如果已下载Shrew Soft VPN客户端,请随时继续执行第一步。
步骤1.打开Shrew VPN Access Manager并单击“添加”添加新配置文件。
系统将显示“VPN站点配置”窗口。
步骤2.在“常规”选项卡下的“远程主机”部分,输入您尝试连接的网络的公有主机名或IP地址。在本例中,我们将在现场输入RV160/RV260的WAN IP地址以建立连接。
注意:确保端口号设置为默认值500。为使VPN工作,隧道使用UDP端口500,该端口应设置为允许在防火墙转发ISAKMP流量。
步骤3.在Auto Configuration下拉列表中,选择一个选项。可用选项定义如下:
·禁用 — 禁用任何自动客户端配置
· Ike Config Pull — 允许客户端从计算机设置请求。在计算机支持拉取方法的情况下,请求返回客户端支持的设置列表。
· Ike Config Push — 使计算机有机会通过配置过程为客户端提供设置。在计算机支持推送方法的情况下,请求返回客户端支持的设置列表。
· DHCP Over IPsec — 使客户端有机会通过DHCP over IPsec从计算机请求设置。
在本例中,我们将选择ike config pull。
步骤4.在本地主机部分,在适配器模式下拉列表中选择使用虚拟适配器和分配的地址,并选中自动获取复选框。可用选项定义如下:
·使用虚拟适配器和分配的地址 — 允许客户端使用具有指定地址的虚拟适配器作为其IPsec通信的源。
·使用虚拟适配器和随机地址 — 允许客户端使用具有随机地址的虚拟适配器作为其IPsec通信的源。
·使用现有适配器和当前地址 — 允许客户端仅使用其现有的物理适配器及其当前地址作为其IPsec通信的源。
步骤1.单击“客户端”选项卡。在NAT穿越下拉列表中,选择您在RV160/RV260上为NAT穿越配置的相同设置。可用的网络地址遍历(NATT)菜单选项定义如下:
· 禁用 — 不使用NATT协议扩展。
· Enabled — 仅当VPN网关在协商期间指示支持并且检测到NAT时,才使用NATT协议扩展。
· Force-Draft — 无论VPN网关在协商期间是否表示支持或检测到NAT,都将使用NAT协议扩展的草案版本。
· Force-RFC — 无论VPN网关是否在协商期间指示支持或检测到NAT,都将使用NAT协议的RFC版本。
· Force-Cisco-UDP — 强制VPN客户端使用UDP封装,而不使用NAT。
在本文档中,我们将选择启用NAT穿越,并将NAT穿越端口和保活数据包速率作为默认值。
步骤2.在IKE Fragmentation下拉列表中,选择Disable、Enable或Force。选项定义如下:
· 禁用 — 不使用IKE分段协议扩展。
· Enable — 仅当VPN网关在协商期间表示支持时才使用IKE分段协议扩展。
· Force — 无论VPN网关是否在协商期间指示支持,都将使用IKE分段协议扩展。
我们已为IKE分段选择禁用。
步骤3.选中Enable Dead Peer Detection复选框以启用Dead Peer Detection协议。如果启用此选项,则只有路由器支持此选项时才会使用此选项。这允许客户端和路由器检查隧道的状态,以检测何时一端无法响应。默认情况下,此选项启用。
在本例中,我们将保持Dead Peer Detection(失效对等体检测)为选中状态。
步骤4.选中Enable ISAKMP Failure Notification复选框,以从VPN Client IPsec守护程序启用ISAKMP故障通知。默认情况下启用该接口。
在本例中,我们将保持选中ISAKMP Failure Notification。
步骤5.取消选中Enable Client Login Banner以禁用此功能。这将在与路由器建立隧道后显示登录标语。路由器必须支持事务交换,并配置为将登录标语转发到客户端。默认情况下,此值处于启用状态。
我们将取消选中客户端登录标语。
步骤1.单击“名称解析”选项卡,如果要启用DNS,请选中“启用DNS”复选框。如果站点配置不需要特定DNS设置,请取消选中“启用DNS”复选框。
如果选中Enable DNS ,并且远程网关配置为支持配置交换,则网关可以自动提供DNS设置。否则,请验证“自动获取”复选框未选中,并手动输入有效的DNS服务器地址。
在本例中,未选中启用DNS。
步骤2.如果要启用Windows Internet Name Server(WINS),请选中“启用WINS”复选框。 如果远程网关配置为支持配置交换,则网关可以自动提供WINS设置。否则,请验证“自动获取”复选框是否未选中,并手动输入有效的WINS服务器地址。
注意:通过提供WINS配置信息,客户端将能够使用位于远程专用网络中的服务器解析WINS名称。当尝试使用统一命名约定路径名访问远程Windows网络资源时,此功能非常有用。WINS服务器通常属于Windows域控制器或Samba服务器。
在本例中,未选中启用WINS。
步骤1.单击Authentication选项卡,并在Authentication Method 下拉列表中选择Mutual PSK + XAuth。可用选项定义如下:
·混合RSA +扩展验证 — 不需要客户端凭证。客户端将对网关进行身份验证。凭证将以PEM或PKCS12证书文件或密钥文件类型的形式显示。
· 混合GRP +扩展验证 — 不需要客户端凭证。客户端将对网关进行身份验证。凭证将以PEM或PKCS12证书文件和共享密钥字符串的形式显示。
· Mutual RSA +扩展验证 — 客户端和网关都需要凭证进行身份验证。凭证将以PEM或PKCS12证书文件或密钥类型的形式显示。
·互PSK +扩展验证 — 客户端和网关都需要凭证进行身份验证。凭证将以共享密钥字符串的形式显示。
· Mutual RSA — 客户端和网关都需要凭证进行身份验证。凭证将以PEM或PKCS12证书文件或密钥类型的形式显示。
·互PSK — 客户端和网关都需要凭证进行身份验证。凭证将以共享密钥字符串的形式显示。
步骤2.在“本地身份”选项卡中,选择标识类型,然后在空字段中输入相应的字符串。以下选项定义为:
· Any — 仅在“远程身份”选项卡上接受。客户端将接受任何ID类型和值。在绕过IKE第1阶段标识过程的一部分时,应谨慎使用。
· Fully Qualified Domain Name — 此选项必须以DNS域字符串的形式提供FQDN字符串。例如,“cisco.com”是可接受的值。仅当使用PSK身份验证模式时,客户端才允许选择此选项。
· User Fully Qualified Domain Name — 必须以user@domain字符串的形式提供用户FQDN字符串。例如,“dave@cisco.com”是可接受的值。仅当使用PSK身份验证模式时,客户端才允许选择此选项。
· IP Address — 选中IP地址后,默认情况下会自动选中Use a discovered local host address复选框。这意味着值将自动确定。如果要使用的地址不是用于与客户端网关通信的适配器地址,请取消选中该复选框。然后,输入特定地址字符串。仅当使用PSK身份验证模式时,客户端才允许选择此选项。
· Key Identifier — 选择此选项时,必须提供标识符字符串。
在本示例中,我们将选择完全限定域名并在FQDN字符串字段中输入test.cisco.com。
步骤3.单击“远程身份”选项卡并选择标识类型。选项包括:任意、完全限定域名、用户完全限定域名、IP地址或密钥标识符。
在本文档中,我们将使用Any作为我们的标识类型。
步骤4.单击Credentials选项卡,输入您在RV160/RV260上配置的相同预共享密钥。
我们将进入CiscoTest123!的FTP服务器。
步骤1.单击Phase 1选项卡。配置以下参数,使其设置与您为RV160/RV260配置的设置相同。
Shrew Soft中的参数应与您在第1阶段中选择的RV160/RV260配置匹配。在本文档中,Shrew Soft中的参数将设置为:
·交换类型:攻击
· DH交换:第 2 组
·密码算法:AES
·密钥长度:256
·散列算法:sha2-256
·主要有效期限:28800
·关键寿命数据限制:0
步骤2.(可选)如果网关在第1阶段协商期间提供思科兼容供应商ID,请选中Enable Check Point Compatible Vendor ID(启用检查点兼容供应商ID)复选框。如果网关未提供思科兼容供应商ID,或者您不确定,请取消选中该复选框。我们将取消选中该复选框。
步骤1.单击Phase 2选项卡。配置以下参数,使其设置与您为RV160/RV260配置的设置相同。
参数应与第2阶段的RV160/260配置匹配如下:
·变换算法:esp-aes
·转换密钥长度:256
· HMAC算法:sha2-256
· PFS交换:第 2 组
·压缩算法:禁用
·主要有效期限:3600
·关键寿命数据限制:0
步骤2.按页面底部的Save按钮保存配置。
步骤1.在VPN Access Manager中,选择您刚创建的VPN配置文件。然后按Connect。
注意:如果要重命名VPN配置文件,请右键单击该配置文件并选择Rename。配置文件中的部分IP地址已模糊,以保护该网络。
步骤2.出现VPN Connect窗口。输入在创建用户帐户部分中创建的用户名和密码。然后按Connect。
步骤3.按Connect后,配置信息将连同通信请求一起传递给IKE守护程序。输出窗口中显示不同的连接状态消息。如果连接成功,您会收到一条消息,说“网络设备已配置”和“隧道已启用”。“连接”按钮将更改为“断开”按钮。
如果收到错误消息,提示“协商超时”、“隧道禁用”和“从密钥守护程序分离”。您可能想要仔细检查您在路由器和Shrew Soft VPN客户端上的配置,以确保它们匹配。
如果收到错误消息“user authentication error”(用户身份验证错误),则表示您为该用户名输入了错误的密码。仔细检查用户凭证,确保其配置和输入正确。
步骤1.单击“VPN连接”窗口中的“网络”选项卡。在此选项卡中,您应该能够查看连接的当前网络统计信息。在“隧道”部分下,您应看到“已连接”状态。
步骤2.在您的路由器上,导航至Status and Statistics > VPN Status。在“VPN状态”页中,向下滚动到“客户端到站点VPN状态”部分。在本节中,您可以查看所有客户端到站点连接。单击“眼睛”图标查看更多详细信息。
步骤3.导航至任务栏上的搜索栏并搜索命令提示符。
注意:Windows 10操作系统使用以下说明。这取决于您使用的操作系统。
步骤4.键入命令,但不带引号“ping [路由器的专用IP地址]”,但输入专用IP地址而不是字。您应该能够成功ping通路由器的私有IP地址。
在本例中,我们将键入ping 10.2.0.96。10.2.0.96是路由器的私有IP地址。
现在,您应该已成功将Shrew Soft VPN客户端与RV160或RV260连接。