设置和使用TheGreenBow连接的IPSec VPN客户端RV160和RV260路由器

目标

本文目标将设置和使用TheGreenBow IPSec VPN客户端连接RV160和RV260路由器。

简介

虚拟专用网络(VPN)连接允许用户到/从私有网络访问，发送和接收数据通过通过公共或共享网络例如互联网，但是仍然保证一个安全连接对基础网络基础设施保护私有网络和其资源。

VPN通道建立使用加密和验证，能安全地发送数据的一私有网络。公司办公室经常使用一VPN连接，因为允许他们的员工访问他们的私有网络是有用的和必要的，即使他们是在办公室外。

VPN允许远程主机或者客户端，操作，好象他们在同一个本地网络查找。RV160路由器支持10个VPN通道和RV260支持至20。在路由器为互联网连接后，配置VPN连接可以设置在路由器和终端之间。VPN客户端依靠完全地VPN路由器的设置能建立连接。设置必须完全地匹配或他们不能通信。

TheGreenBow VPN客户端是使成为可能为了主机设备能配置客户端对站点IPSec隧道的一个安全连接用RV160和RV260系列路由器的第三方VPN客户端客户端应用程序。

使用VPN连接的好处

使用VPN连接帮助保护机要网络数据和资源。

它为远程工作者或公司员工提供便利和可访问性，因为他们能容易地访问总部，而不必物理的存在，仍然，维护私有网络和其资源的安全。

通信使用VPN连接提供高水平安全与遥远通信比较其他方法。高级加密算法由未经授权的访问做此可能，保护私有网络。

用户的实际地理位置保护和没有显示在公共或共享网络类似互联网。

VPN允许新用户或将被添加的用户的一组，不用需要对于另外的组件或一复杂配置。

使用VPN连接风险

可以有安全风险由于误配置。因为VPN的设计和实施可以是复杂的，委托配置对一高度熟知和有经验的专业人员的连接任务为了确保是必要的，私有网络的安全不会被危及。

它可能较不可靠。因为VPN连接要求互联网连接，有一个供应商以被证明的和测试的名誉提供非常好网络服务和保证最小到没有停机时间是重要的。

如果情况发生有需要添加新建的基础设施或新的一套配置的地方，技术问题可能出现由于不兼容，特别是如果介入另外产品或除您已经使用的那个之外的供应商。

缓慢的连接速度能发生。如果使用提供自由的VPN服务的一VPN客户端，可能预计您的连接也慢，因为这些供应商不优先安排连接速度。在此条款，我们使用应该排除此问题的有偿的第三方。

客户端对站点网络的基本结构

这是网络的基本布局设置的。公共广域网IP地址部分地被弄脏了或者在实际编号位置显示x保护从攻击的此网络。

此条款通过必要的步骤将走在以下的站点配置RV160或RV260路由器：

• 一个用户组— Vpnuser
• 将允许访问作为客户端的用户帐户(一个或更多用户)
• 一IPSec简档— TheGreenBow
• 客户端对站点配置文件—客户端
• 一旦客户端连接，您也将显示如何在站点查看VPN状态

注意：您能使用所有名称用户组、IPSec简档和客户端对站点配置文件。列出的名称是示例。

此条款也说明每个客户端会采取配置在他们的计算机的TheGreenBow VPN的步骤：

• 下载和设置的TheGreenBow VPN客户端软件
• 配置阶段1和2设置客户端的
• 开始并且验证VPN连接作为客户端

重要的是在路由器的每设置在站点匹配客户端设置。如果您的配置不导致成功的VPN连接，请检查所有设置确保他们匹配。在此条款显示的示例是一种方式设置连接。

目录表

配置在RV160或RV260路由器在站点

创建用户组

创建用户帐户

配置IPSec简档

配置阶段1和2设置

创建客户端对站点配置文件

在客户端位置配置

配置阶段1设置

配置隧道设置

开始VPN连接作为客户端

检查在RV160或RV260的连接

在站点验证VPN状态

可适用的设备

• RV160
• RV260

软件版本

• 1.0.00.15

在RV160或RV260路由器的站点配置VPN客户端

创建用户组

重要提示：请留下在admin group的默认管理帐户并且创建一个新用户帐户和用户组TheGreenBow的。如果移动您的管理帐户向一不同的组，您将防止自己登录路由器。

步骤1.登陆到路由器的基于Web的工具。

步骤2.选择系统配置>用户组。

步骤3.点击正图标添加每用户组。

第 4 步：在概述地区中，请输入组的名称Group Name字段的。

第 5 步：在本地用户会员名单下，请点击正图标并且选择从下拉列表的用户。如果更想要添加，再请按正图标并且选择另一个成员将被添加。成员可以只是一组的一部分。如果没有所有用户已经被输入，您在创建能添加更多用户帐户部分。

步骤6。在服务下，请选择权限授权对用户在组中。选项是：

• 已禁用—此选项意味着组的组员没有允许访问基于Web的工具到浏览器。
• 只读—此选项意味着组的组员能只读系统的状况，在他们登陆后。他们不能编辑其中任一设置。
• Admin -此选项给组的组员读并且写入权限，并且能配置系统状态。

步骤7.点击正图标添加一个现有客户端对站点VPN。如果未配置此，您能找到在此条款的信息在部分下创建客户端对站点配置文件。

步骤8.单击应用。

步骤9.点击“Save”。

步骤10.单击再次应用保存运行的配置到启动配置。

步骤11。当您接收确认时，请点击OK键。

您应该顺利地当前创建RV160或RV260系列路由器的一个用户组。

创建用户帐户

步骤1.登陆到路由器的基于Web的工具并且选择系统配置>用户帐户。

Step 2.在本地用户用户区域中，请点击Add图标。

步骤3.输入一名称对于用户在用户名字段、密码和您想要添加用户对从下拉菜单的组中。单击 Apply。

注意：当客户端设置他们的计算机的TheGreenBow客户端，他们用此相同用户名和密码会登陆。

步骤4.点击“Save”。

步骤5.单击再次应用保存运行的配置到启动配置。

步骤6。当您接收确认时，请点击OK键。

您应该当前创建在您的RV160或RV260路由器的一个用户帐户。

配置IPSec简档

步骤1.对RV160或RV260路由器的基于Web的工具的登录和选择VPN > IPSec VPN > IPSec简档。

Step 2.IPSec简档表显示现有配置文件。点击正图标创建新配置文件。

注意：Amazon_Web_Services，默认和Microsoft_Azure是默认配置文件。

步骤3.在配置文件名称名称字段创建一名称对于配置文件。配置文件名称必须包含字母数字字符和仅一条下划线(_)特殊字符的。

步骤4.点击单选按钮确定配置文件将使用验证的密钥交换方法。选项是：

• 自动—策略参数自动地设置。此选项使用一项Internet Key Exchange (IKE)策略数据完整性和加密密钥交换。如果这选择，在自动策略参数范围下的配置设置启用。
• 手工—此选项允许您手工配置数据加密和完整性的密钥VPN通道的。如果这选择，在手工的策略参数范围下的配置设置启用。这不用途广泛。

注意：对于此示例，自动选择。

步骤5.选择IKE版本。请务必，当您设置在客户端时的TheGreenBow，同一个版本选择。

配置阶段1和2设置

第 1 步：在阶段1选项地区中，请选择适合的Diffie-Hellman (DH)组与密钥一起使用在从DH组下拉列表的阶段1。Diffie-Hellman是用于连接交换预先共享密钥集的加密密钥交换协议。位取决于算法的优点。选项是：

• Group2-1024位—此选项比Group1计算关键慢，但是安全的更多。
• Group5-1536位—此选项计算密钥最慢，但是安全的多数。

Step 2.从加密下拉列表，请选择加密方法加密和解密封装安全有效载荷(ESP)和互联网安全协会和密钥管理协议(ISAKMP)。选项是：

• 3DES —三重数据加密标准。不推荐。只请使用它，如果为向后兼容性要求，因为易受到一些“块冲突”攻击。
• AES-128 —高级加密标准使用一128-bit密钥。高级加密标准(AES)是比DES设计是安全的更多的加密算法。AES使用保证的更加大的密钥大小解密唯一的已知的方法消息是为了入侵者能尝试每可能的密钥。
• AES-192 —高级加密标准使用一192-bit密钥。
• AES-256 —高级加密标准使用一256-bit密钥。这是多数安全Encryption选项。

注意：AES是加密和3DES标准方法在DES的其更加巨大的性能和安全的。加长AES密钥将强化与一丢弃的安全在性能。

第 3 步：从验证下拉列表，请选择将确定的认证方法ESP和ISAKMP如何验证。选项是：

• MD5 —消息分类算法有一个128-bit Hash值。
• SHA-1 —安全散列算法有一个160-bit Hash值。
• SHA2-256 —与256-bit Hash值的安全散列算法。这是多数安全和推荐的算法。

注意：确保VPN通道的两端使用同一认证方法。

注意：MD5和SHA是两个密码散列函数。他们采取数据片段，变紧密它，并且创建不可能典型地被再生产的一唯一十六进制输出。在本例中， SHA1选择。

第 4 步：在SA寿命字段，请输入值在120和86400之间。默认值是28800。SA寿命(秒)告诉您时间，以秒钟， IKE SA是活跃的在此相位。新的安全关联(SA)协商，在寿命超时保证前新的SA准备使用，当旧有一个超时时。默认是28800，并且范围是从120到86400。我们使用28800秒作为我们的SA寿命在相位i。

注意：推荐您的在相位的SA寿命我比您的SA第II阶段寿命长。如果比第II阶段使您的相位我短，则您必须反复重新协商通道频繁地与数据通道相对。数据通道是什么需要更多安全，因此有在的第II阶段的寿命短比相位i.最好的。

第 5 步：从协议选择下拉列表在第II阶段选项地区，请选择协议类型适用于协商的第二阶段。选项是：

• ESP —亦称此选项是封装安全有效载荷。此选项封装将保护的数据。如果此选项选择，请继续对步骤6选择加密方法。
• AH —亦称此选项是认证报头(AH)。它是提供数据验证和可选反重放服务的安全协议。AH在将保护的IP数据包被嵌入。如果此选项选择，请跳到步骤7。

步骤6。如果ESP在步骤6选择，请选择加密。选项是：

• 3DES —三重数据加密标准
• AES-128 —高级加密标准使用一128-bit密钥。
• AES-192 —高级加密标准使用一192-bit密钥。
• AES-256 —高级加密标准使用一256-bit密钥。

第 7 步：从验证下拉列表，请选择将确定的认证方法ESP和ISAKMP如何验证。选项是：

• MD5 —消息分类算法有一个128-bit Hash值。
• SHA-1 —安全散列算法有一个160-bit Hash值。
• SHA2-256 —与256-bit Hash值的安全散列算法。

步骤8。在SA寿命字段，请输入值在120和28800之间。这是IKE SA在此相位内将保持活动的时间长度。默认值是3600。

步骤9. (可选)检查生成IPSec数据流加密和验证的一新密钥的Enable (event)优秀的转发保密性复选框。优秀的转发保密性用于改进在互联网间传送的通信安全使用公钥加密。检查方框启用此功能或者非选定方框禁用此功能。推荐此功能。

步骤10。从DH组下拉列表，请选择DH组与密钥一起使用在第2阶段。选项是：

• Group2-1024位—此选项计算关键快速，但是安全的较少。
• Group5-1536位—此选项计算密钥最慢，但是安全的多数。

步骤11.单击应用。

步骤12。点击“Save”永久保存配置。

步骤13。单击再次应用保存运行的配置到启动配置。

步骤14。当您接收确认时，请点击OK键。

您应该顺利地当前配置在您的RV160或RV260路由器的一IPSec简档。

创建客户端对站点配置文件

步骤1.选择VPN > IPSec VPN >客户端对站点。

步骤2.点击正图标。

第 3 步：在基本设置下请选中，检查Enable复选框保证VPN配置文件是活跃的。

步骤4.在通道名称名称字段输入一名称对于VPN连接。

步骤5.选择从IPsec下拉列表将使用的IPSec简档。

步骤6.从接口下拉列表选择接口。

注意：选项取决于您使用的型号路由器。在本例中，广域网选择。

步骤7.选择IKE验证方法。选项是：

• 预先共享密钥—此选项将让我们使用一个共享密码VPN连接。
• 证书—此选项使用包含信息例如名称的一数字证书，或者IP地址、证书的序列号、有效期和证书的持票人的公共密钥的复制。

注意：预先共享密钥可以是什么您希望它是，它只必须匹配在站点和与客户端，当他们设置他们的计算机的时TheGreenBow客户端。

步骤8.在Pre-Shared Key字段输入连接密码。

步骤9. (可选)不选定最低的预先共享密钥复杂性Enable复选框能使用简单密码。

注意：在本例中，最低的预先共享密钥复杂性被留下已启用。

步骤10. (可选)检查显示在纯文本的密码的显示预先共享密钥Enable复选框。

注意：在本例中，请显示预先共享密钥被离开已禁用。

步骤11.从本地标识符下拉列表选择一个本地标识符。选项是：

• 本地广域网IP —此选项使用VPN网关的广域网(WAN)接口的IP地址。
• IP地址—此选项允许您手工输入VPN连接的一个IP地址。这是路由器的WAN IP地址在站点(办公室)。
• FQDN —亦称此选项是完全合格的域名(FQDN)。它让您使用一个完整域名在互联网的一台特定计算机。
• 用户FQDN —此选项让您使用一个完整域名互联网的一个特定用户。

注意：在本例中， IP地址选定的，并且路由器的WAN IP地址在站点的被输入。在本例中， 24.x.x.x被输入了。完整地址为保密性目的被弄脏了。

步骤12。选择远程主机的一个标识符。选项是：

• IP地址—此选项使用VPN客户端的WAN IP地址。欲知您能输入“的WAN IP地址什么是我的IP”到您的Web浏览器。这是客户端IP地址。
• FQDN —完全限定域名。此选项让您使用一个完整域名在互联网的一台特定计算机。
• 用户FQDN —此选项让您使用一个完整域名互联网的一个特定用户。

注意：在本例中， IP地址选定的，并且路由器的当前IPv4地址在位置的客户端被输入。这可以取决于执行一搜索为“什么是我的IP地址”在您的Web浏览器。此地址能如此更改，如果有连接在一成功的配置以后的问题，这可以是检查并更改的区域在客户端和在站点。

步骤13。(可选)请检查扩展认证复选框激活功能。当激活，这将提供在他们的凭证将要求远程用户锁上在是前授权访问到VPN的一个另外的级别验证。

步骤14。(可选)请选择通过单击正图标使用扩展认证和选择从下拉列表的用户的组。

注意：在本例中， Vpnuser选择。

步骤15。在客户端的LAN池范围下，请输入可以分配到VPN客户端的第一个IP和结束IP地址。这需要是与站点地址不交迭的地址池。这些可能指虚拟接口。如果接收虚拟接口需要更改这的消息是您会修复那的地方。

步骤16。选择先进的设置选项卡。

步骤17。(可选)请移下来到下面页并且选择积极模式。积极模式功能允许您指定一IP安全对等体的RADIUS隧道属性和启动一Internet Key Exchange (IKE)积极模式协商用通道。关于积极模式的更多信息与主模式请点击此处。

注意：当开始连接时，压缩复选框使路由器报价压缩。此协议减少大小IP数据包。如果响应方拒绝此建议，则路由器不实现压缩。当路由器是响应方时，接受压缩，即使压缩没有启用。如果启用此路由器的此功能，您在远程路由器(通道的另一端会需要启用它)。在本例中，压缩是被不选定的左。

步骤18。单击 Apply。

步骤19。Click Save.

步骤20。单击再次应用保存运行的配置到启动配置。

步骤21。当您接收确认时，请点击OK键。

您应该当前配置在路由器的客户端对站点通道TheGreenBow VPN客户端的。

配置远程工作者的计算机的TheGreenBow VPN客户端

配置阶段1设置

要下载TheGreenBow IPSec VPN客户端软件新版本，请点击此处。

步骤1.右键单击TheGreenBow VPN客户端图标。这在工具栏的右下角查找。

步骤2.选择配置面板。

注意：这是在Windows计算机的一示例。这可能根据您使用的软件变化。

步骤3.挑选IKE V1 IPSec隧道创建向导。

注意：在本例中， IKE版本1配置。如果希望配置IKE版本2，您在IKE V2文件夹会遵从同样步骤，但是用鼠标右键单击。您也会需要在站点选择IPSec简档的IKEv2在路由器。

步骤4.填写路由器的公共WAN IP地址在站点(办公室)文件服务器查找的地方，预共享密匙和远程网络的私有内部地址在站点的。单击 Next。在本例中，站点是24.x.x.x。最后三个八位位组(在此IP地址的一组数字)用x替换保护此网络。您会输入全双工IP地址。

步骤5.点击芬通社。

步骤6 (可选)您能更改IKE V1参数。TheGreenBow默认，最小和最大的寿命可以调节。在此位置您能输入什么路由器接受寿命的范围。

步骤7.点击您创建的网关。

步骤8。在Authentication选项下面对您演讲将看到本地地址一张下拉列表。您能选择一或选择其中任一，如下所示。

步骤9.在远程网关领域输入远程网关的地址。这可以是IP地址或DNS名。这是公网IP地址的地址路由器的在站点(办公室)。

步骤10。在验证下，请选择认证类型。选项是：

• 预共享密匙—此选项将让用户使用在VPN网关配置的密码。密码必须由用户匹配能设立VPN通道。
• 证书—此选项将使用一证书完成在VPN客户端和VPN网关之间的握手。

注意：在本例中，在路由器配置的预先共享密钥被输入了并且被确认了。

步骤11。在IKE下，请设置加密、验证和关键组设置匹配路由器的配置。

步骤12。点击高级选项卡。

步骤13。在高级特性下，请检查模式配置和积极模式复选框。积极模式在RV160选择在此示例客户端对站点配置文件。留下NAT-T设置到自动。

注意：当模式配置启用， TheGreenBow VPN客户端将请求从VPN网关的设置尝试设立通道。NAT-T使建立连接更加快速。

步骤14。(可选)在X验证下，您能检查X验证弹出式复选框自动地拔登录窗口，当开始连接时。登录窗口是用户输入他们的凭证能完成通道的地方。

步骤15。(可选)，如果不选择X验证弹出式，请在登录字段输入您的用户名。这是输入的用户名，当用户帐户在VPN网关和密码创建在站点。

步骤16。在本地和远程ID下，请设置本地ID和远程ID匹配VPN网关的设置。

注意：在本例中，本地ID和远程ID设置为IP地址匹配RV160或RV260 VPN网关的设置。

步骤17。在ID的值下，请在他们的各自字段输入本地ID和远程ID。本地ID是客户端的WAN IP地址。这可以通过执行一Web搜索找到为“什么是我的IP”。远程ID是路由器的WAN IP地址在站点。

步骤18。点击配置并且选择保存。

配置隧道设置

步骤1.点击IKev1Tunnel(1) (你的可能有不同的名称)和IPSec选项。如果在Ikev1Gateway的选择的模式设置提前设置， VPN客户端地址自动地填充。这在远程位置显示计算机/笔记本电脑的本地IP地址。

步骤2.选择VPN客户端能从地址类型下拉列表访问的地址类型。这可以是单个地址、地址范围或者子网地址。默认，子网地址，自动地包括VPN客户端地址(计算机的本地IP地址)，远程LAN地址和子网掩码。如果单个地址或地址范围选择，这些字段将需要手工填写。输入应该由VPN通道在远程LAN地址字段和远程网络子网掩码访问在子网掩码字段的网络地址。

注意：在本例中，单个地址选定的，并且路由器的本地IP地址在站点的被输入。

第 3 步：在ESP下，请设置加密、验证和模式在站点(办公室)匹配VPN网关的设置。

在PFS下的步骤4. (可选)，检查PFS复选框启用完整转发安全性(PFS)。PFS生成加密的会话随机的密钥。选择从组下拉列表的PFS组设置。如果它在路由器启用，应该也启用此处。

在Ikev1Gateway的名称的步骤5. (可选)右键单击和点击重命名部分，如果希望重命名它。

步骤6.点击配置并且选择保存。

您应该顺利地当前配置TheGreenBow VPN客户端连接到RV160或RV260路由器通过VPN。

开始VPN连接作为客户端

第 1 步：因为您有开放的TheGreenBow，您在通道能用鼠标右键单击和选择开放通道开始连接。

注意：您能通过双击也打开通道在通道。

步骤2. (可选)，如果开始个新会话和关闭TheGreenBow，在屏幕的右边单击TheGreenBow VPN客户端图标。

步骤3. (可选)此步骤只是必要的是否设置个新会话，并且跟随的步骤2.选择您需要使用然后单击开放的VPN连接。VPN连接应该自动地开始。

第 4 步：当通道连接一绿色圆环在通道旁边将出现。如果看到一个感叹号您能点击它查找错误。

步骤5. (可选)验证您连接，访问prompt命令从客户端计算机。

步骤6. (可选)回车ping然后路由器的专用LAN IP地址在站点的。如果收到回复您连接。

验证VPN状态

在站点验证VPN状态

步骤1.登陆到RV160或RV260的VPN网关的基于Web的工具。

步骤2.选择状态和统计信息> VPN状态。

第 3 步：在客户端对站点隧道状态下，请检查连接表的连接列。您应该看到被确认的VPN连接。

步骤4.点击眼睛图标发现更多详细信息。

第 5 步：客户端对站点VPN状态的详细信息显示此处。您将注意从地址池分配配置在设置客户端的WAN IP地址，本地IP地址。它也显示字节和发送的数据包和一样很好接收象他连接时间。如果会想要断开连接客户端，单击蓝色被中断的链图标在操作下。点击在右上角的x在检查以后关闭。

结论

您应该成功当前设置和验证在RV160或RV260路由器的VPN连接，并且让TheGreenBow VPN客户端配置连接到路由器通过VPN。