虚拟专用网络(VPN)是远程用户通过互联网虚拟连接到专用网络的方法。客户端到网关VPN使用VPN客户端软件将用户的台式机或笔记本电脑连接到远程网络。客户端到网关VPN连接对于希望安全地远程连接到办公室网络的远程员工非常有用。Shrew VPN客户端是在远程主机设备上配置的软件,可提供简单安全的VPN连接。
本文档旨在向您展示如何为连接到RV042、RV042G或RV082 VPN路由器的计算机配置Shrew VPN客户端。
注意:本文档假设您已在Windows计算机上下载了Shrew VPN客户端。否则,您需要先配置客户端到网关VPN连接,然后才能开始配置Shrew VPN。有关如何配置客户端到网关VPN的详细信息,请参阅在RV042、RV042G和RV082 VPN路由器上为VPN客户端设置远程访问隧道(客户端到网关)。
· RV042
· RV042G
· RV082
•v4.2.2.08
步骤1.单击计算机上的Shrew VPN Client程序并将其打开。“Shrew Soft VPN Access Manager”(Shrew软件VPN访问管理器)窗口打开:
步骤2.单击“添加”。系统将显示“VPN站点配置”窗口:
步骤1.单击“常规”选项卡。
注意:常规部分用于配置远程和本地主机IP地址。这些参数用于定义客户端到网关连接的网络参数。
步骤2.在Host Name or IP Address字段中,输入远程主机IP地址,即已配置WAN的IP地址。
步骤3.在Port字段中,输入用于连接的端口号。图中示例中使用的端口号是400。
步骤4.从Auto Configuration下拉列表中,选择所需的配置。
·禁用 — 禁用选项禁用所有自动客户端配置。
· IKE Config Pull — 允许客户端从计算机设置请求。在计算机支持Pull方法的情况下,请求返回客户端支持的设置列表。
· IKE Config Push — 使计算机有机会通过配置过程为客户端提供设置。在计算机支持推送方法的情况下,请求返回客户端支持的设置列表。
· DHCP Over IPSec — 使客户端有机会通过DHCP over IPSec从计算机请求设置。
步骤5.从适配器模式下拉列表中,根据自动配置选择本地主机所需的适配器模式。
·使用虚拟适配器和分配的地址 — 允许客户端使用具有指定地址的虚拟适配器。
·使用虚拟适配器和随机地址 — 允许客户端使用具有随机地址的虚拟适配器。
·使用现有适配器和当前地址 — 使用现有适配器及其地址。无需输入其他信息。
步骤6.如果从步骤5的适配器模式下拉列表中选择使用虚拟适配器和分配的地址,请在MTU字段中输入最大传输单位(MTU)。最大传输单位有助于解决IP分段问题。默认值为 1380。
步骤7.(可选)要通过DHCP服务器自动获取地址和子网掩码,请选中自动获取复选框。此选项不适用于所有配置。
步骤8.如果从适配器模式下拉列表中选择使用虚拟适配器和分配的地址,请在地址字段中输入远程客户端的IP地址。
步骤9.如果在步骤5的适配器模式下拉列表中选择使用虚拟适配器和分配的地址,请在网络掩码字段中输入远程客户端IP地址的子网掩码。
步骤10.单击“保存”以保存设置。
步骤1.单击“客户端”选项卡。
注意:在“Client”部分中,可以配置防火墙选项、失效对等体检测和ISAKMP(互联网安全关联和密钥管理协议)故障通知。设置定义了手动配置和自动获取的配置选项。
步骤2.从NAT Traversal下拉列表中选择适当的NAT(Network Address Translation)穿越选项。
·禁用 — NAT协议已禁用。
·启用 — 仅当网关通过协商表示支持时,才使用IKE分段。
·强制草案 — NAT协议草案版本。如果网关通过协商或检测NAT来表示支持,则使用它。
·强制RFC - NAT协议的RFC版本。如果网关通过协商或检测NAT来表示支持,则使用它。
步骤3.在NAT Traversal Port字段中输入NAT的UDP端口。默认值为 4500。
步骤4.在Keep-alive数据包速率字段中,输入发送保持连接数据包的速率值。该值以秒为单位测量。默认值为 30 秒。
步骤5.在IKE分段下拉列表中,选择适当的选项。
·禁用 — 不使用IKE分段。
·启用 — 仅当网关通过协商表示支持时,才使用IKE分段。
·强制 — 使用IKE分段,而不考虑指示或检测。
步骤6.在Maximum packet size(最大数据包大小)字段中输入最大数据包大小(字节)。如果数据包大小大于最大数据包大小,则执行IKE分段。默认值为540字节。
步骤7.(可选)要允许计算机和客户端检测其他计算机和客户端何时无法响应,请选中Enable Dead Peer Detection复选框。
第8步。(可选)要通过VPN客户端发送故障通知,请选中Enable ISAKMP Failure Notifications复选框。
第9步。(可选)要在与网关建立连接时显示客户端的登录标语,请选中Enable Client Login复选框。
步骤10.单击“保存”以保存设置。
步骤1.单击“名称解析”选项卡。
注意:“名称解析”部分用于配置DNS(域名系统)和WIN(Windows Internet Name Service)设置。
步骤2.单击DNS选项卡。
步骤3.选中启用DNS以启用域名系统(DNS)。
步骤4.(可选)要自动获取DNS服务器地址,请选中Obtain Automatically(自动获取)复选框。如果选择此选项,请跳至步骤6。
步骤5.在Server Address #1字段中输入DNS服务器地址。如果有另一台DNS服务器,请在其余的Server Address字段中输入这些服务器的地址。
步骤6.(可选)要自动获取DNS服务器的后缀,请选中Obtain Automatically(自动获取)复选框。如果选择此选项,请跳至步骤8。
步骤7.在“DNS后缀”字段中输入DNS服务器的后缀。
步骤8.单击“保存”以保存设置。
步骤9.单击WINS选项卡。
步骤10.选中启用WINS以启用Windows Internet Name Server(WINS)。
步骤11.(可选)要自动获取DNS服务器地址,请选中Obtain Automatically(自动获取)复选框。如果选择此选项,请跳至步骤13。
步骤12.在Server Address #1字段中输入WINS服务器的地址。如果有其他DNS服务器,请在其余的Server Address字段中输入这些服务器的地址。
步骤13.单击“保存”以保存设置。
步骤1.单击Authentication选项卡。
注意:在“身份验证”部分,您可以配置客户端在尝试建立ISAKMP SA时处理身份验证的参数。
步骤2.从Authentication Method下拉列表中选择适当的身份验证方法。
·混合RSA +扩展验证 — 不需要客户端凭证。客户端将对网关进行身份验证。凭证将以PEM或PKCS12证书文件或密钥文件类型的形式显示。
·混合GRP +扩展验证 — 不需要客户端凭证。客户端将对网关进行身份验证。凭证将以PEM或PKCS12证书文件和共享密钥字符串的形式显示。
· Mutual RSA +扩展验证 — 客户端和网关都需要凭证进行身份验证。凭证将以PEM或PKCS12证书文件或密钥类型的形式显示。
·互相PSK +扩展验证 — 客户端和网关都需要凭证进行身份验证。凭证将以共享密钥字符串的形式显示。
· Mutual RSA — 客户端和网关都需要凭证进行身份验证。凭证将以PEM或PKCS12证书文件或密钥类型的形式显示。
·互相PSK — 客户端和网关都需要凭证进行身份验证。凭证将以共享密钥字符串的形式显示。
本地身份配置
步骤1.单击Local Identity选项卡。
注意:本地身份设置发送到网关进行验证的ID。在本地身份部分,配置标识类型和FQDN(完全限定域名)字符串以确定ID的发送方式。
步骤2.从Identification Type下拉列表中选择适当的标识选项。并非所有选项都可用于所有身份验证模式。
·完全限定域名 — 本地身份的客户端标识基于完全限定域名。如果选择此选项,请执行步骤3,然后跳至步骤7。
·用户完全限定域名 — 本地身份的客户端标识基于用户完全限定域名。如果选择此选项,请执行步骤4,然后跳至步骤7。
· IP地址 — 本地身份的客户端标识基于IP地址。如果选中使用发现的本地主机地址,则会自动发现IP地址。如果选择此选项,请按照步骤5,然后跳至步骤7。
·密钥标识符 — 根据密钥标识符识别本地客户端的客户端标识。如果选择此选项,请执行步骤6和步骤7。
步骤3.在FQDN字符串字段中输入完全限定的域名为DNS字符串。
步骤4.在UFQDN字符串字段中输入用户完全限定的域名为DNS字符串。
步骤5.在UFQDN字符串字段中输入IP地址。
步骤6.输入密钥标识符以在密钥ID字符串中标识本地客户端。
第 7 步: 点击 Save(保存),以保存设置。
步骤1.单击Remote Identity选项卡。
注意:远程身份验证网关的ID。在“远程身份”部分,配置“身份类型”以确定如何验证ID。
步骤2.从Identification Type下拉列表中选择适当的标识选项。
·任意 — 远程客户端可以接受任何值或ID进行身份验证。
· ASN.1 Distinguished Name — 远程客户端自动从PEM或PKCS12证书文件中识别。只有在“身份验证”部分的步骤2中选择了RSA身份验证方法,才能选择此选项。选中使用已接收证书中的使用者但不将其与特定值进行比较复选框以自动接收证书。如果选择此选项,请执行步骤3,然后跳至步骤8。
·完全限定域名 — 远程身份的客户端标识基于完全限定域名。只有在“身份验证”部分的步骤2中选择PSK身份验证方法时,才能选择此选项。如果选择此选项,请执行步骤4,然后跳至步骤8。
·用户完全限定域名 — 远程身份的客户端标识基于用户完全限定域名。只有在“身份验证”部分的步骤2中选择PSK身份验证方法时,才能选择此选项。如果选择此选项,请执行步骤5,然后跳至步骤8。
· IP地址 — 远程身份的客户端标识基于IP地址。如果选中使用发现的本地主机地址,则会自动发现IP地址。如果选择此选项,请执行步骤6,然后跳至步骤8。
·密钥标识符 — 远程客户端的客户端标识是基于密钥标识符进行标识的。如果选择此选项,请执行步骤7和步骤8。
步骤3.在ASN.1 DN字符串字段中输入ASN.1 DN字符串。
步骤4.在FQDN字符串字段中输入完全限定的域名作为DNS字符串。
步骤5.在UFQDN字符串字段中输入用户完全限定的域名为DNS字符串。
步骤6.在UFQDN字符串字段中输入IP地址。
步骤7.在Key ID String字段中输入用于标识本地客户端的密钥标识符。
步骤8.单击“保存”以保存设置。
步骤1.单击“凭证”选项卡。
注意:在“凭据”部分,配置了预共享密钥。
步骤2.要选择Server Certificate File,请单击... 图标,在“服务器证书颁发机构文件”字段旁,选择在PC上保存服务器证书文件的路径。
步骤3.要选择客户端证书文件,请单击... 图标,在“客户端证书文件”字段旁,选择在PC上保存客户端证书文件的路径。
步骤4.要选择Client Private Key File,请单击... 图标,在“客户端私钥文件”字段旁,选择在PC中保存客户端私钥文件的路径。
步骤5.在PreShared Key字段中输入预共享密钥。此密钥应与在隧道配置期间使用的密钥相同。
步骤6.单击“保存”以保存设置。
步骤1.单击Phase 1选项卡。
注意:在第1阶段部分,可以配置参数,以便可以建立具有客户端网关的ISAKMP SA。
步骤2.从Exchange Type下拉列表中选择适当的密钥交换类型。
·主 — 对等体的标识受到保护。
·攻击性 — 对等体的身份不受保护。
步骤3.在DH Exchange下拉列表中,选择在配置VPN连接期间选择的适当组。
步骤4.在Cipher Algorithm下拉列表中,选择在配置VPN连接期间选择的适当选项。
步骤5.在Cipher Key Length下拉列表中,选择与VPN连接配置期间选择的选项的密钥长度相匹配的选项。
步骤6.在Hash Algorithm下拉列表中,选择在配置VPN连接期间选择的选项。
步骤7.在Key Life Time Limit字段中,输入在配置VPN连接期间使用的值。
步骤8.在Key Life Data limit字段中,输入要保护的值(以千字节为单位)。缺省值为0,可关闭特征。
第9步。(可选)选中Enable Check Point Compatible Vendor ID(启用检查点兼容供应商ID)复选框。
步骤10.单击“保存”以保存设置。
步骤1.单击Phase 2选项卡。
注意:在第2阶段部分,您可以配置参数,以便可以建立具有远程客户端网关的IPsec SA。
步骤2.在转换算法下拉列表中,选择在配置VPN连接期间选择的选项。
步骤3.在转换密钥长度下拉列表中,选择与配置VPN连接期间选择的选项的密钥长度相匹配的选项。
步骤4.在HMAC算法下拉列表中,选择在配置VPN连接期间选择的选项。
步骤5.在PFS Exchange下拉列表中,选择在配置VPN连接期间选择的选项。
步骤6.在Key Life Time Limit字段中,输入在配置VPN连接期间使用的值。
步骤7.在Key Life Data limit字段中,输入要保护的值(以千字节为单位)。缺省值为0,可关闭特征。
步骤8.单击“保存”以保存设置。
步骤1.单击Policy选项卡。
注意:在“策略”部分,定义了IPSEC策略,这是客户端与主机通信以进行站点配置所必需的。
步骤2.在Policy Generation Level下拉列表中,选择适当的选项。
·自动 — 自动确定必要的IPsec策略级别。
·需要 — 不协商每个策略的唯一安全关联。
·唯一 — 协商每个策略的唯一安全关联。
·共享 — 在必要级别生成适当的策略。
步骤3.(可选)要更改IPSec协商,请选中Maintain Persistent Security Associations复选框。如果启用,则在连接后直接为每个策略进行协商。如果禁用,则根据需要进行协商。
步骤4.(可选)要从设备接收自动提供的网络列表,或默认将所有数据包发送到RV0XX,请选中自动获取拓扑或全部隧道复选框。如果未选中,则必须手动执行配置。如果选中此复选框,请跳至步骤10。
步骤5.单击Add将拓扑条目添加到表中。系统将显示Topology Entry窗口。
步骤6.在“类型”下拉列表中,选择适当的选项。
·包括 — 通过VPN网关访问网络。
·排除 — 通过本地连接访问网络。
步骤7.在Address字段中,输入RV0XX的IP地址。
步骤8.在Netmask字段中,输入设备的子网掩码地址。
步骤9.单击OK。RV0XX的IP地址和子网掩码地址显示在Remote Network Resource(远程网络资源)列表中。
步骤10.单击Save,该操作将使用户返回到显示新VPN连接的VPN Access Manager窗口。
本节介绍如何在配置所有设置后设置VPN连接。所需的登录信息与设备上配置的VPN客户端访问相同。
步骤1.点击所需的VPN连接。
步骤2.单击“连接”。
系统将显示“VPN Connect”窗口:
步骤3.在Username字段中输入VPN的用户名。
步骤4.在“密码”字段中输入VPN用户帐户的密码。
步骤5.单击“连接”。系统将显示Shrew Soft VPN Connect窗口:
步骤6.(可选)要禁用连接,请单击Disconnect。