设置和使用TheGreenBow连接的IPSec VPN客户端RV160和RV260路由器

客观

本文目标将设置和使用TheGreenBow IPSec VPN客户端连接RV160和RV260路由器。

Introduction

虚拟专用网络(VPN)连接允许用户到/从一个专用网络访问，发送和接受数据通过通过公共或共享网络例如互联网，但是仍然保证一个安全连接对基础网络基础设施保护专用网络和其资源。

VPN隧道建立使用加密和认证，能安全地发送数据的一个专用网络。公司各分支机构经常使用VPN连接，因为允许他们的员工访问他们的专用网络是有用和必要的，即使他们是在办公室外。

VPN允许一台远端主机或者客户端，操作，好象他们位于同一个本地网络。RV160路由器支持10条VPN隧道和RV260技术支持至20。在路由器为互联网连接后，被配置了VPN连接可以设置在路由器和终端之间。VPN客户端依靠完全地VPN路由器的设置能建立连接。设置必须完全地匹配或他们不能沟通。

TheGreenBow VPN客户端是使成为可能为了主机设备能配置客户端对站点IPSec隧道的一个安全连接用RV160和RV260系列路由器的第三方VPN客户端客户端应用程序。

使用VPN连接的好处

使用VPN连接帮助保护机要网络数据和资源。

它为远程工作者或公司员工提供便利和可及性，因为他们能容易地访问总部，而不必物理的存在，仍然，维护专用网络和其资源的安全。

通信使用VPN连接提供高水平安全与遥远通信比较其他方法。高级加密算法做此可能，保护专用网络免受未被授权的访问。

用户的实际地理位置保护和没有显示在公共或共享网络类似互联网。

VPN允许新用户或将被添加的一个组用户，不用需要对于另外的组件或一种复杂配置。

使用VPN连接风险

可以有安全风险由于误配置。因为VPN的设计和实施可以是复杂的，委托配置与一个高度熟知和有经验的专业人员的连接任务为了确信是必要的，专用网络的安全不会被危及。

它可能是较不可靠的。因为VPN连接要求互联网连接，有一个供应商以被证明的和测试的名誉提供非常好的网络服务和保证最小到没有停工期是重要的。

如果情况发生有需要添加新的基础设施或新的一套配置的地方，技术问题可能出现由于不兼容，特别是如果介入另外产品或除您已经使用的那个之外的供应商。

缓慢的连接速率能发生。如果使用提供自由VPN服务的一VPN客户端，可能预计您的连接也是慢的，因为这些供应商不优先安排连接速率。在此条款上，我们使用应该排除此问题的有偿的第三方。

客户端对站点网络的基本结构

这是网络的基本的布局设置的。公共广域网IP地址部分地被弄脏了或者在实际编号位置显示x保护此网络免受攻击。

此条款通过必要的步骤将走在以下的站点配置RV160或RV260路由器：

• 一个用户组— Vpnuser
• 将允许访问作为客户端的用户帐户(一个或更多用户)
• IPSec配置文件— TheGreenBow
• 客户端对站点配置文件—客户端
• 一旦客户端被联络，您也将显示如何在站点查看VPN状态

Note:您能使用所有名字用户组、IPSec配置文件和客户端对站点配置文件。列出的名字是示例。

此条款也说明每个客户端会采取配置在他们的计算机的TheGreenBow VPN的步骤：

• 下载和设置的TheGreenBow VPN客户端软件
• 配置阶段1和2个设置客户端的
• 开始并且验证VPN连接作为客户端

重要的是在路由器的每个设置在站点匹配客户端设置。如果您的配置不导致成功的VPN连接，请检查所有设置确定他们配比。在此条款显示的示例是一种方式设置连接。

目录表

配置在RV160或RV260路由器在站点

创建一个用户组

创建一个用户帐户

配置IPSec配置文件

配置阶段1和2个设置

创建一个客户端对站点配置文件

在客户端位置配置

配置阶段1设置

配置隧道设置

开始VPN连接作为客户端

检查在RV160或RV260的连接

在站点验证VPN状态

可适用的设备

• RV160
• RV260

软件版本

• 1.0.00.15

在RV160或RV260路由器的站点配置VPN客户端

创建用户组

注意事项：请把默认管理帐户留在admin group并且创建一个新用户帐户和用户组TheGreenBow的。如果移动您的管理帐户向一个不同的组，您将防止自己记录到路由器。

步骤1.登陆到路由器的基于Web的工具。

步骤2.选择系统配置>用户组。

步骤3.点击正图标添加用户组。

第 4 步：在概述地区中，请输入组的名字在Group Name字段。

第 5 步：在本地用户会员名单下，请点击正图标并且选择用户从下拉列表。如果要添加更多，再按正图标和选择另一名成员被添加。成员可以只是一个组的一部分。如果没有所有用户已经被输入，您在创建能添加更多用户帐户部分。

第6.步。在服务下，请选择权限被授予组的用户。选项是：

• 失效—此选项意味着组的组员没有允许访问基于Web的工具到浏览器。
• 只读—此选项意味着组的组员能只读系统的状况，在他们登陆后。他们不能编辑其中任一个设置。
• Admin -此选项产生读的组的组员并且写权限，并且能配置系统状态。

步骤7.点击正图标添加一个现有的客户端对站点VPN。如果未配置此，您在此条款上能找到信息在部分下创建客户端对站点配置文件。

步骤8.点击适用。

步骤9.点击“Save”。

步骤10.点击再次适用保存运行的配置到启动配置。

第11.步。当您接受确认时，请点击OK键。

您应该顺利地当前创建了RV160或RV260系列路由器的一个用户组。

创建用户帐户

步骤1.登陆到路由器的基于Web的工具并且选择系统配置>用户帐户。

Step 2.在本地用户地区中，请点击Add图标。

步骤3.输入一个名字对于用户在用户名字段、密码和您要添加用户到从下拉菜单的组。单击 Apply。

Note:当客户端设置他们的计算机的TheGreenBow客户端，他们用此相同用户名和密码会登陆。

步骤4.点击“Save”。

步骤5.点击再次适用保存运行的配置到启动配置。

第6.步。当您接受确认时，请点击OK键。

您应该当前创建了在您的RV160或RV260路由器的一个用户帐户。

配置IPSec配置文件

步骤1. RV160或RV260路由器的基于Web的工具的洛金和选择VPN > IPSec VPN > IPSec配置文件。

Step 2.IPSec配置文件表显示现有的配置文件。点击正图标创建新配置文件。

Note:Amazon_Web_Services，默认值和Microsoft_Azure是默认配置文件。

步骤3.创建一个名字对于在配置文件名字字段的配置文件。配置文件名字必须包含字母或数字字符和仅一条下划线(_)特殊字符的。

步骤4.点击一个单选按钮确定配置文件将使用验证的密匙交换方法。选项是：

• 自动—自动地设置策略参数。此选项使用一个Internet Key Exchange (IKE)策略数据完整性和加密密钥交换。如果这被选择，在自动策略参数范围下的配置设置是启用的。
• 手工—此选项允许您手工配置数据加密和完整性的键VPN隧道的。如果这被选择，在手工的策略参数范围下的配置设置是启用的。这不用途广泛。

Note:对于此示例，自动被选择了。

步骤5.选择IKE版本。请务必，当您设置在客户端时的TheGreenBow，同一个版本选择。

配置阶段1和2个设置

第 1 步：在阶段1选项地区中，请选择适当的Diffie-Hellman (DH)组与键一起使用在从DH组下拉列表的阶段1。Diffie-Hellman是用于连接交换预共享密钥集的一个加密密钥交换协议。位取决于算法的力量。选项是：

• Group2-1024位—此选项比Group1计算关键慢，但是安全。
• Group5-1536位—此选项计算键最慢，但是最安全。

Step 2.从加密下拉列表，请选择加密方法加密和解码封装安全有效载荷(ESP)和互联网安全协会和密钥管理协议(ISAKMP)。选项是：

• 3DES —三重数据加密标准。不推荐。只请使用它，如果为向后兼容性要求了，因为易受到一些“块冲突”攻击。
• AES-128 —高级加密标准使用一个128-bit键。高级加密标准(AES)是比DES设计安全的加密算法。AES使用保证的更大的密钥大小解码唯一的已知的方法消息是为了入侵者能尝试每个可能的键。
• AES-192 —高级加密标准使用一个192-bit键。
• AES-256 —高级加密标准使用一个256-bit键。这是最安全的Encryption选项。

Note:AES是加密标准方法在DES和3DES的其更加巨大的性能和安全的。加长AES键将强化与一丢弃的安全在性能。

第 3 步：从认证下拉列表，请选择将确定的认证方法ESP和ISAKMP如何验证。选项是：

• MD5 — message-digest算法有一个128-bit Hash值。
• SHA-1 —安全散列算法有一个160-bit Hash值。
• SHA2-256 —与256-bit Hash值的安全散列算法。这是最安全和最推荐的算法。

Note:切记VPN隧道的两端使用同一个认证方法。

Note:MD5和SHA是两个密码散列函数。他们采取数据部分，变紧密它，并且创建不可能典型地被再生产的一个唯一十六进制输出。在本例中， SHA1被选择。

第 4 步：在SA寿命字段，请输入在120和86400范围的值。DEFAULT值是28800。SA寿命(秒)告诉您时间，以秒钟， IKE SA是活跃的在此阶段。新的安全关联(SA)协商，在寿命到期保证前新的SA准备使用，当老一个到期时。默认值是28800，并且范围是从120到86400。我们使用28800秒作为我们的SA寿命在第i.阶段。

Note:建议您的在阶段的SA寿命我比您的SA第II阶段寿命长。如果比第II阶段使您的阶段我短，则您必须反复重新协商隧道频繁地与数据隧道相对。数据隧道是什么需要更多安全，因此有在的第II阶段的寿命短比第i.阶段最好的。

第 5 步：从协议选择下拉列表在第II阶段选项地区，请选择协议类型适用于协商的第二阶段。选项是：

• ESP —亦称此选项是封装安全有效载荷。此选项封装将保护的数据。如果此选项被选择，请继续对第6步选择加密方法。
• AH —亦称此选项是认证报头(AH)。它是提供数据验证和可选的反重放服务的安全协议。AH在将保护的IP数据包被嵌入。如果此选项被选择，请跳到第7.步。

第6.步。如果ESP在第6步被选择了，请选择加密。选项是：

• 3DES —三重数据加密标准
• AES-128 —高级加密标准使用一个128-bit键。
• AES-192 —高级加密标准使用一个192-bit键。
• AES-256 —高级加密标准使用一个256-bit键。

第 7 步：从认证下拉列表，请选择将确定的认证方法ESP和ISAKMP如何验证。选项是：

• MD5 — message-digest算法有一个128-bit Hash值。
• SHA-1 —安全散列算法有一个160-bit Hash值。
• SHA2-256 —与256-bit Hash值的安全散列算法。

第8.步。在SA寿命字段，请输入在120和28800范围的值。这是IKE SA在此阶段内将保持活动的时间长度。DEFAULT值是3600。

第9.步(可选的)检查生成IPsec数据流加密和认证的一新密钥的Enable (event)优秀的转发保密性复选框。优秀的转发保密性用于改进在互联网间传输的通信安全使用公共钥匙加密。检查机箱对enable (event)此功能或者非选定机箱禁用此功能。此功能是推荐的。

第10.步。从DH组下拉列表，请选择DH组与键一起使用在第2阶段。选项是：

• Group2-1024位—此选项计算关键快速，但是较不安全。
• Group5-1536位—此选项计算键最慢，但是最安全。

步骤11.点击适用。

步骤12。点击“Save”永久保存配置。

第13步。点击再次适用保存运行的配置到启动配置。

步骤14。当您接受确认时，请点击OK键。

您应该成功当前配置了在您的RV160或RV260路由器的IPSec配置文件。

创建客户端对站点配置文件

步骤1.选择VPN > IPSec VPN >客户端对站点。

步骤2.点击正图标。

第 3 步：在基本设置下请选中，检查Enable复选框保证VPN配置文件是活跃的。

步骤4.输入一个名字对于VPN连接在隧道名字段。

步骤5.选择从IPsec下拉列表将使用的IPSec配置文件。

步骤6.从接口下拉列表选择接口。

Note:选项取决于您使用路由器的型号。在本例中，广域网被选择。

步骤7.选择IKE验证方法。选项是：

• 预共享密钥—此选项将让我们使用一个共有的密码VPN连接。
• 认证—此选项使用包含信息例如名字的一个数字认证，或者IP地址、序列号、认证的有效期和认证的持票人的公共密钥的复制。

Note:预共享密钥可以是什么您希望它是，它只必须匹配在站点和与客户端，当他们设置他们的计算机的时TheGreenBow客户端。

步骤8.在Pre-Shared Key字段输入连接密码。

第9.步(可选)不选定最低的预共享密钥复杂性Enable复选框能使用简单密码。

Note:在本例中，最低的预共享密钥复杂性留给启用。

第10.步(可选的)检查显示密码的显示预共享密钥Enable复选框在纯文本。

Note:在本例中，请显示预共享密钥留给失效。

步骤11.从本地标识下拉列表选择一个本地标识。选项是：

• 本地广域网IP —此选项使用VPN网关的广域网络(广域网)接口的IP地址。
• IP地址—此选项允许您手工输入VPN连接的一个IP地址。这是路由器的广域网IP地址在站点(办公室)。
• FQDN —亦称此选项是完全合格的域名(FQDN)。它让您使用一个完全域名在互联网的一台特定计算机。
• 用户FQDN —此选项让您使用一个完全域名互联网的一个特定用户。

Note:在本例中， IP地址被选择，并且路由器的广域网IP地址在站点的被输入。在本例中， 24.x.x.x被输入了。完全地址为保密性目的被弄脏了。

步骤12。选择远端主机的一个标识。选项是：

• IP地址—此选项使用VPN客户端的广域网IP地址。欲知您能输入“的广域网IP地址什么是我的IP”到您的Web浏览器。这是客户端IP地址。
• FQDN —全限定域名。此选项让您使用一个完全域名在互联网的一台特定计算机。
• 用户FQDN —此选项让您使用一个完全域名互联网的一个特定用户。

Note:在本例中， IP地址被选择，并且路由器的当前IPv4地址在位置的客户端被输入。这可以取决于执行搜索为“什么是我的IP地址”在您的Web浏览器。此地址能如此更改，如果有连接在一种成功的配置以后的问题，这可以是检查并更改的区域在客户端和在站点。

第13步。(可选)请检查扩展认证复选框激活功能。当激活，这将提供在他们的证件将要求异地用户锁上在是前授权访问到VPN认证的一个另外的级别。

步骤14。(可选)请选择通过点击正图标使用扩展认证和选择用户从下拉列表的组。

Note:在本例中， Vpnuser被选择。

第15步。在客户端LAN的池范围下，请输入可以分配到VPN客户端的第一个IP和结束IP地址。这需要是与站点地址不交迭的地址池。这些可能指虚拟接口。如果接受虚拟接口需要更改这的消息是您会修正那的地方。

第16步。选择先进Settings选项。

第17步。(可选)请移下来到下面页并且选择积极模式。积极模式功能允许您为一个IP安全对等体指定RADIUS隧道属性和起动以隧道的一次Internet Key Exchange (IKE)积极模式协商。关于积极模式的更多信息与主要模式请点击此处。

Note:压缩复选框enable (event)建议压缩的路由器，当开始连接。此协议减少IP数据包的大小。如果回应者拒绝此建议，则路由器不实现压缩。当路由器是回应者时，接受压缩，即使压缩不是启用的。如果enable (event)此路由器的此功能，您会需要enable (event)它在远程路由器(隧道的另一个末端)。在本例中，压缩留给被不选定。

第18步。单击 Apply。

第19步。Click Save.

第20步。点击再次适用保存运行的配置到启动配置。

第21步。当您接受确认时，请点击OK键。

您应该当前配置了在路由器的客户端对站点隧道TheGreenBow VPN客户端的。

配置远程工作者的计算机的TheGreenBow VPN客户端

配置阶段1设置

要下载TheGreenBow IPSec VPN客户端软件新版本，请点击此处。

步骤1.用鼠标右键单击TheGreenBow VPN客户端图标。这位于工具栏的更低的右角。

步骤2.选择配置面板。

Note:这是在Windows计算机的一个示例。这可能根据您使用的软件变化。

步骤3.选择IKE V1 IPsec隧道创建向导。

Note:在本例中，配置IKE版本1。如果希望配置IKE版本2，您会跟随同样在IKE V2文件夹的步骤，但是用鼠标右键单击。您也会需要为在路由器的IPSec配置文件选择IKEv2在站点。

步骤4.填写路由器的公共广域网IP地址在站点(办公室)找出的地方文件服务器，预共用的键和远程网络的专用的内部地址在站点的。单击 Next。在本例中，站点是24.x.x.x。前三个八位位组(在此IP地址的一组数字)用x替换保护此网络。您会输入充分的IP地址。

步骤5.点击完成。

第6步(可选)您能更改IKE V1参数。可以调整TheGreenBow默认值，最小和最大的寿命。在此位置您能输入什么路由器接受寿命的范围。

步骤7.点击您创建的网关。

第8.步。在Authentication选项下面对您演讲将看到本地地址一张下拉列表。您能选择一或选择其中任一，如下所示。

步骤9.输入远程网关的地址在远程网关领域。这可以是IP地址或DNS名。这是公共IP地址的地址路由器的在站点(办公室)。

第10.步。在认证下，请选择认证类型。选项是：

• 预共用的键—此选项将让用户使用在VPN网关被配置了的密码。密码必须由用户匹配能设立VPN隧道。
• 认证—此选项将使用一个认证完成在VPN客户端和VPN网关之间的握手。

Note:在本例中，在路由器被配置的预共享密钥被输入了并且被确认了。

第11.步。在IKE下，请设加密、认证和关键组设置匹配路由器的配置。

步骤12。点击高级选项卡。

第13步。在高级特性下，请检查模式配置和积极模式复选框。积极模式在RV160选择了在此示例客户端对站点配置文件。留下设置对自动的NAT-T。

Note:有模式配置功能， TheGreenBow VPN客户端将拉从VPN网关的设置尝试设立隧道。NAT-T做快速地建立连接。

步骤14。(可选)在X-Auth下，您能检查X-Auth弹出式复选框自动地拔登录窗口，当开始连接时。登录窗口是用户输入他们的证件能完成隧道的地方。

第15步。(可选)，如果不选择弹出式的X-Auth，请输入您的用户名在洛金字段。这是输入的用户名，当用户帐户在VPN网关和密码被创建了在站点。

第16步。在本地和远程ID下，请设置本地ID和远程ID匹配VPN网关的设置。

Note:在本例中，本地ID和远程ID设置为IP地址匹配RV160或RV260 VPN网关的设置。

第17步。在ID的值下，请输入本地ID和远程ID在他们的各自字段。本地ID是客户端的广域网IP地址。这可以通过执行Web搜索找到为“什么是我的IP”。远程ID是路由器的广域网IP地址在站点。

第18步。点击配置并且选择保存。

配置隧道设置

步骤1.点击IKev1Tunnel(1) (你的可能有不同的名称)和IPSec选项。如果在Ikev1Gateway的选择的模式设置提前设置， VPN客户端地址自动地被填充。这在远端位置显示计算机/膝上型计算机的本地IP地址。

步骤2.选择VPN客户端能从地址类型下拉列表访问的地址类型。这可以是单个地址、地址范围或者子网地址。默认值，子网地址，自动地包括VPN客户端地址(计算机的本地IP地址)，远程LAN地址和子网掩码。如果单个地址或地址范围选择，这些字段将需要手工填写。输入应该由在远程LAN地址域和远程网络子网掩码的VPN隧道获取在子网掩码字段的网络地址。

Note:在本例中，单个地址被选择了，并且路由器的本地IP地址在站点的被输入。

第 3 步：在ESP下，请设置加密、认证和模式在站点(办公室)匹配VPN网关的设置。

在PFS下的第4.步(可选)，检查PFS复选框对enable (event)完整转发安全性(PFS)。PFS生成加密的会话随机的键。选择PFS组设置从组下拉列表。如果它在路由器允许，应该也启用这里。

在Ikev1Gateway的名字的第5.步(可选的)用鼠标右键单击和点击给改名部分，如果希望给它改名。

步骤6.点击配置并且选择保存。

您应该成功当前配置TheGreenBow VPN客户端连接到RV160或RV260路由器通过VPN。

开始VPN连接作为客户端

第 1 步：因为您有开放的TheGreenBow，您在隧道能用鼠标右键单击和选择开放隧道开始连接。

Note:您能通过双击也打开隧道在隧道。

第2.步(可选)，如果开始个新会话和结束了TheGreenBow，在屏幕的右边点击TheGreenBow VPN客户端图标。

第3.步(可选)此步骤只是必要的是否设置个新会话，并且跟随的第2.步选择您需要使用然后点击开放的VPN连接。VPN连接应该自动地开始。

第 4 步：当隧道被连接一绿色的圆环在隧道旁边将出现。如果看到感叹号您能点击它查找错误。

第5.步(可选)验证您被联络，从客户端计算机访问prompt命令。

第6.步(可选)在站点输入ping然后路由器的专用LAN IP地址。如果收到回复您被联络。

验证VPN状态

在站点验证VPN状态

步骤1.登陆到RV160或RV260的VPN网关的基于Web的工具。

步骤2.选择状态和统计数据> VPN状态。

第 3 步：在客户端对站点隧道状态下，请检查连接表的连接列。您应该看到被确认的VPN连接。

步骤4.点击眼睛图标发现更多详细资料。

第 5 步：客户端对站点VPN状态的详细资料显示得这里。您将注意客户端的广域网IP地址，从地址池分配被配置在设置的本地IP地址。它也显示字节和发送的数据包和一样很好被接受，象他连接时间。如果希望断开客户端，请点击蓝色被中断的链图标在动作下。点击在右上角的x在检查以后关闭。

结论

您应该成功当前设置和验证了在RV160或RV260路由器的VPN连接，并且让TheGreenBow VPN客户端被配置连接到路由器通过VPN。