配置单个客户端对在RV320和RV325 VPN路由器系列的网关虚拟专用网络(VPN)

目标

本文目标将显示您如何配置单个客户端到在RV32x系列VPN路由器的网关虚拟专用网络(VPN)。

简介

VPN是用于的私有网络通过公共网络实际上联络远程用户。 VPN的一种类型是客户端对网关VPN。客户端对网关VPN是远程用户和网络之间的一连接。客户端在有VPN客户端软件的用户设备配置。它允许用户安全地远程连接到网络。

可适用的设备

• RV320双倍广域网VPN路由器
• RV325千兆位双重广域网VPN路由器

软件版本

• v1.1.0.09

配置单个客户端到网关VPN

步骤1.登陆到Web配置工具并且选择VPN >客户端到网关。网关页的客户端打开：

步骤2.单击通道单选按钮添加客户端的单个通道到网关VPN。

添加新通道

Note:通道NO-代表通道的编号。此编号自动地生成。

步骤1.在通道名称名称字段输入通道的名称。

步骤2.选择远程客户端访问从接口下拉列表的VPN的接口。

步骤3.选择appropriate模式密钥管理保证从密钥模式下拉列表的安全。默认模式是与预共享密匙的IKE。

选项定义如下：

• 手工-单独生成一个新的安全密钥和与密钥的协商的自定义安全模式。这是最佳为使用在故障排除期间或在一个小静态环境。
• 与预共享密匙的IKE - Internet Key Exchange (IKE)协议用于自动地生成和交换预共享密匙建立通道的已验证通信。
• 与证书的IKE -与证书的Internet Key Exchange (IKE)协议是自动地生成和交换预共享密匙的更多安全的方法建立通道的更多安全通信。

第 4 步：检查Enable复选框启用客户端到网关VPN。默认情况下它启用。

第 5 步：如果要保存到目前为止您有的设置，把并且点击保存移下来保存设置。

本地组设置

本地组设置指南或IKE与预共享密匙

注意：如果从密钥模式下拉列表选择Manual或IKE与预共享密匙在添加的步骤3新通道部分，请遵从下面的步骤。

步骤1.从本地安全网关下拉列表选择适当的路由器识别方法设立VPN通道。 

选项定义如下：

• 仅IP -对通道的访问通过仅静态广域网IP是可能的。如果仅路由器有任何静态广域网IP，您能选择此选项。静态WAN IP地址自动地生成。
• IP+对通道的域名(FQDN)验证访问通过静态IP地址和一个已注册域是可能的。如果选择此选项，请在域名字段输入已注册域的名称。静态WAN IP地址自动地生成。
• IP+电子邮件地址。(用户FQDN)对通道的验证访问通过静态IP地址和电子邮件地址是可能的。如果选择此选项，请在电子邮件地址字段输入电子邮件地址。静态WAN IP地址自动地生成。
• 动态IP +对通道的域名(FQDN)验证访问通过动态IP地址和一个已注册域是可能的。如果选择此选项，请在域名字段输入已注册域的名称。
• 动态IP +电子邮件地址。(用户FQDN)对通道的验证访问通过动态IP地址和电子邮件地址是可能的。如果选择此选项，请在电子邮件地址字段输入电子邮件地址。
• IP地址-代表广域网接口的IP地址。它是只读字段。

步骤2.选择能对VPN通道的访问从本地安全组类型下拉列表用户的适合的本地LAN用户或组。默认是子网。

• IP -仅一个特定LAN设备能访问通道。如果选择此选项，请输入LAN设备的IP地址在IP地址字段的。默认IP是192.168.1.0。
• 子网-在一特定子网的所有LAN设备能访问通道。如果选择此选项，请在各自IP地址和子网掩码字段输入LAN设备的IP地址和子网掩码。默认掩码是255.255.255.0。
• IP范围-范围LAN设备能访问通道。如果选择此选项，请输入在启动IP的开始的和结束的IP地址并且结束各自IP字段。默认范围是从192.168.1.0到192.168.1.254。

第 3 步：如果要保存到目前为止您有的设置，把并且点击保存移下来保存设置。

与IKE的本地组设置与通道的VPN证书

注意：如果从在添加的步骤3的密钥模式下拉列表选择与证书的IKE新通道部分，请遵从下面的步骤。

• 本地安全网关类型-对通道的访问通过与证书的IP是可能的。
• IP地址-代表广域网接口的IP地址。它是只读字段。

步骤1.选择适当的本地证书识别从本地证书下拉列表的路由器。点击Self生成器自动地生成证书或点击进口证明书导入新证书。

注意：要认识更多关于怎样自动地生成证书，参考生成在RV320路由器的证书，并且知道对参考的进口证明书如何请配置我的在RV320路由器的证书。

步骤2.选择本地LAN能访问从本地安全组类型下拉列表的VPN通道用户的用户或组正确的类型。默认是子网。

• IP -仅一个特定LAN设备能访问通道。如果选择此选项，请输入LAN设备的IP地址在IP地址字段的。默认IP是192.168.1.0。
• 子网-在一特定子网的所有LAN设备能对通道的访问。如果选择此选项，请在各自IP地址和子网掩码字段输入LAN设备的IP地址和子网掩码。默认掩码是255.255.255.0。
• IP范围-范围LAN设备能对通道的访问。如果选择此选项，请输入在启动IP的开始的和结束的IP地址并且结束各自IP字段。默认范围是从192.168.1.0到192.168.1.254。

第 3 步：如果要保存到目前为止您有的设置，把并且点击保存移下来保存设置。

远程客户端设置

远程客户端设置指南或IKE与预共享密匙

注意： 如果从密钥模式下拉列表选择Manual或IKE与预共享密匙在添加的步骤3新通道部分，请遵从下面的步骤。

步骤1.选择适当的客户端识别方法设立从远程安全网关下拉列表的一个VPN通道。默认是仅IP。 

• 仅IP -对通道的访问通过只有客户端的静态广域网IP是可能的。只有当认识客户端的静态广域网IP或域名，您能选择此选项。请从下拉列表选择IP地址并且进入客户端的静态IP在相邻字段或者由被解决的DNS选择IP从下拉列表并且输入IP地址的域名在相邻字段。通过IP地址的本地DNS服务器，路由器能自动地检索IP地址。

注意：如果从在步骤3的密钥模式下拉列表选择Manual在添加新通道通过通道或组VPN部分，这将是唯一选择联机。

• IP+对通道的域名(FQDN)验证访问通过客户端和一个已注册域的静态IP地址是可能的。如果选择此选项，请在域名字段输入已注册域的名称。请从下拉列表选择IP地址并且进入客户端的静态IP在相邻字段或者由被解决的DNS选择IP从下拉列表并且输入IP地址的域名在相邻字段。通过IP地址的本地DNS服务器，路由器能自动地检索IP地址。
• IP+电子邮件地址。(用户FQDN)对通道的验证访问通过客户端和电子邮件地址的静态IP地址是可能的。如果选择此选项，请在电子邮件地址字段输入电子邮件地址。 请从下拉列表选择IP地址并且进入客户端的静态IP在相邻字段或者由被解决的DNS选择IP从下拉列表并且输入IP地址的域名在相邻字段。通过IP地址的本地DNS服务器，路由器能自动地检索IP地址。
• 动态IP +对通道的域名(FQDN)验证访问通过客户端和一个已注册域的动态IP地址是可能的。如果选择此选项，请在域名字段输入已注册域的名称。
• 动态IP +电子邮件地址。(用户FQDN)对通道的验证访问通过客户端和电子邮件地址的动态IP地址是可能的。如果选择此选项，请在电子邮件地址字段输入电子邮件地址。

第二步：如果要保存到目前为止您有的设置，把并且点击保存移下来保存设置。

与IKE的远程组建立与证书

注意： 如果从在添加的步骤3的密钥模式下拉列表选择与证书的IKE新通道部分，请遵从下面的步骤。

• 远程安全网关类型-客户端识别通过IP是可能以证书建立VPN连接。

步骤1.由被解决的DNS选择IP地址或IP从下拉列表。

• IP地址-对通道的访问通过只有客户端的静态广域网IP是可能的。只有当认识客户端的静态广域网IP，您能选择此选项。进入客户端的静态IP IP地址字段的。
• 由被解决的DNS的IP -有用的，如果不认识客户端的IP地址，但是您请认识该IP地址域。输入IP地址的域名。通过IP地址的本地DNS服务器，路由器能自动地检索IP地址。

步骤2.从远程证书下拉列表选择适当的远程证书。点击导入远程证书导入新证书或单击请授权CSR识别与一个数字署名请求的证书。

注意：如果要认识更多关于怎样导入新证书参考的视图/添加委托在RV320路由器的SSL证书，并且知道更多已授权CSR参考证书签名请求(CSR)在RV320路由器。

第 3 步：如果要保存到目前为止您有的设置，把并且点击保存移下来保存设置。

IPSec设置

与指南密钥的IPSec设置

注意： 如果从在添加的步骤3的密钥模式下拉列表选择Manual新通道部分，请遵从下面的步骤。

步骤1.在流入SPI字段输入流入安全参数索引的(SPI)唯一十六进制值。SPI输入封装安全有效载荷协议(ESP)报头，一起确定流入数据包的安全关联(SA)。范围是100对ffffffff，当默认是100。

步骤2.在流出的SPI字段输入流出的安全参数索引的(SPI)唯一十六进制值。SPI是一起确定输出数据包的安全关联(SA)的输入的封装安全有效载荷协议(ESP)报头。范围是100对ffffffff，当默认是100。

注意：连接的设备的流入SPI和通道的另一端的流出的SPI应该互相匹配设立通道。

步骤3.从加密下拉列表选择适当的加密方法。推荐的加密是3DES。VPN通道需要使用同一个加密方法两个其末端。

• DES -数据加密标准(DES)是56位，旧有，不是如安全的更加向后兼容的加密方法。
• 3DES -三重数据加密标准(3DES)是168位，增加密钥大小的简单加密方法通过加密提供更多安全然后DES的数据为三次。

步骤4.从验证下拉列表选择适当的认证方法。推荐的验证是SHA1。VPN通道需要使用同一认证方法两个其末端。

• MD5 -消息摘要Algorithm-5 (MD5)代表32个提供防护给数据从恶意攻击由校验和计算的位十六进制散列函数。
• SHA1 -安全散列算法版本1 (SHA1)是比MD5是安全的更多的160位散列数据功能。

步骤5.在加密密钥关键字域输入密钥加密和解密数据。如果选择DES作为在步骤3的加密方法，请输入一16个位十六进制值。如果选择3DES作为在步骤3的加密方法，请输入一40个位十六进制值。

步骤6.在认证密钥关键字域输入预先共享密钥验证流量。如果选择MD5作为在步骤4的认证方法，请输入32个位十六进制值。如果选择SHA作为在步骤4的认证方法，请输入40个位十六进制值。VPN通道需要使用同一预共享密匙两个其末端。

第 7 步：如果要保存到目前为止您有的设置，把并且点击保存移下来保存设置。

IPSec设置与与预共享密匙的与证书的IKE或IKE

注意： 如果从在添加的步骤3的密钥模式下拉列表选择与预共享密匙的与证书的IKE或IKE新通道部分，请遵从下面的步骤。

步骤1.从阶段1 DH组下拉列表选择适合的阶段1 DH组。阶段1用于设立单工，在通道的二末端的之间逻辑安全关联(SA)支持安全地道通信。Diffie-Hellman (DH)是在阶段1连接时用于共享密钥验证通信的加密密钥交换协议。 

• Group1 - 768位-代表最低的优点密钥和最不安全的验证组。但是它需要较少时刻计算IKE密钥。更喜欢网络的速度是否低。
• 第2组- 1024位-代表更加高强度的密钥等等安全验证组。但是它需要一些时间计算IKE密钥。
• Group5 - 1536位-代表最高强度的密钥和多数巩固验证组。它需要更多时刻计算IKE密钥。更喜欢网络的速度是否高。

步骤2.选择适当的阶段1加密加密从阶段1加密下拉列表的密钥。AES-256，因为是多数安全加密方法，推荐。VPN通道需要使用同一个加密方法两个其末端。

• DES -数据加密标准(DES)是56位，不是安全加密方法的旧有加密方法。
• 3DES -三重数据加密标准(3DES)是168位，增加密钥大小的简单加密方法通过加密提供更多安全然后DES的数据为三次。
• AES-128 -高级加密标准(AES)是128变换纯文本到密码文本through10周期重复的位加密方法。
• AES-192 -高级加密标准(AES)是192变换纯文本到密码文本完成12个周期重复的位加密方法。
• AES-256 -高级加密标准(AES)是256变换纯文本到密码文本完成14个周期重复的位加密方法。

步骤3.从阶段1验证下拉列表选择适当的认证方法。VPN通道需要使用同一认证方法两个其末端。

• MD5 -提供防护给数据从恶意攻击由校验和计算的消息摘要Algorithm-5 (MD5)代表32个位十六进制散列函数。
• SHA1 -安全散列算法版本1 (SHA1)是比MD5是安全的更多的160位散列数据功能。

步骤4.以秒钟输入时间，在阶段1， VPN通道在SA阶段1寿命字段保持活动。 默认时间是28800秒。

第 5 步：检查优秀的转发保密性复选框提供更多防护给密钥。如果任何密钥减弱，此选项准许生成新密钥。已加密数据通过减弱的密钥只减弱。因此它提供更加安全并且验证通信，当巩固其他密钥密钥虽则减弱。这是推荐的操作作为它提供更多安全。

步骤6.从第2阶段DH组下拉列表选择适合的第2阶段DH组。阶段1用于设立单工，在通道的二末端的之间逻辑安全关联(SA)支持安全验证通信。Diffie-Hellman (DH)是在阶段1连接时用于共享密钥验证通信的加密密钥交换协议。

• Group1 - 768位-代表最低的优点密钥和最不安全的验证组。但是它需要较少时刻计算IKE密钥。更喜欢网络的速度是否低。
• 第2组- 1024位-代表更加高强度的密钥等等安全验证组。但是它需要一些时间计算IKE密钥。
• Group5 - 1536位-代表最高强度的密钥和多数巩固验证组。它需要更多时刻计算IKE密钥。更喜欢网络的速度是否高。

步骤7.选择适当的第2阶段加密加密从第2阶段加密下拉列表的密钥。AES-256，因为是多数安全加密方法，推荐。VPN通道需要使用同一个加密方法两个其末端。

• DES -数据加密标准(DES)是56位，不是安全加密方法的旧有加密方法。
• 3DES -三重数据加密标准(3DES)是168位，增加密钥大小的简单加密方法通过加密提供更多安全然后DES的数据为三次。
• AES-128 -高级加密标准(AES)是128变换纯文本到密码文本through10周期重复的位加密方法。
• AES-192 -高级加密标准(AES)是192变换纯文本到密码文本通过12周期重复的位加密方法。
• AES-256 -高级加密标准(AES)是256变换纯文本到密码文本通过14周期重复的位加密方法。

步骤8.从第2阶段验证下拉列表选择适当的认证方法。VPN通道需要使用同一认证方法两个其末端。

• MD5 -提供防护给数据从恶意攻击由校验和计算的消息摘要Algorithm-5 (MD5)代表32个位十六进制散列函数。
• SHA1 -安全散列算法版本1 (SHA1)是比MD5是安全的更多的160位散列数据功能。
• 空-没有使用认证方法。

步骤9.以秒钟输入时间，在第2阶段， VPN通道在SA第2阶段寿命字段保持活动。 默认时间是3600秒。

步骤 10如果要启用预共享密匙的，优点公尺请检查最低的预共享密匙复杂性复选框。

步骤11.输入以前共享在IKE对等体之间在预共享密钥字段的密钥。30字母数字字符可以使用作为预共享密匙。VPN通道需要使用同一预共享密匙两个其末端。

注意：严格推荐频繁地更改在IKE对等体之间的预共享密匙，因此VPN保持安全。

• 预共享密匙优点公尺-这通过对有色人种的歧视显示预共享密匙的优点。红色指示弱优点，黄色指示可接受优点和绿色指示强优点。如果检查在步骤10的最低的预共享密匙复杂性复选框IPSec设置部分，则仅预共享密匙优点公尺出现。

注意：如果从在步骤3的密钥模式下拉列表选择与预共享密匙的IKE Add的新通道部分，则只有您能有选项配置步骤10，步骤11和查看预共享密匙优点公尺。

步骤 12如果要保存到目前为止您有的设置，把并且点击保存移下来保存设置。

与IKE与预共享密匙或IKE的高级设置与证书

先进的设置为与预共享密匙的与证明密钥的仅IKE和IKE是可能的。手工的关键设置没有任何先进的设置。

步骤1.单击先进获得IKE的先进的设置与预共享密匙。

第二步：如果您的网络速度低，请检查积极模式复选框。它在SA连接时交换通道，需要较少时刻交换，但是的较少的端点的ID安全在明文的。

第 3 步：检查压缩(支持IP有效负载压缩协议(IPComp)) 复选框，如果要压缩大小IP数据包。IPComp是用于压缩大小IP数据包的IP压缩协议，如果网络速度低，并且用户要迅速传送数据，不用任何损耗通过低速网络。

步骤4.Check keep-alive复选框，如果总是想要VPN通道的连接依然是活动。如果任何连接变得非激活，它帮助立即重建连接。

第 5 步：请检查AH散列算法复选框，如果想要对验证验证报头(AH)。AH提供验证给数据起始点，数据完整性通过校验和，并且保护被扩展到IP报头。通道应该有两个的同样算法其侧。

• MD5 -提供防护给数据从恶意攻击由校验和计算的消息摘要Algorithm-5 (MD5)代表128个位十六进制散列函数。
• SHA1 -安全散列算法版本1 (SHA1)是比MD5是安全的更多的160位散列数据功能。

第六步：如果要通过VPN通道，允许不可路由的流量请检查NetBIOS广播。默认被不选定。NetBIOS用于通过一些软件应用检测网络资源类似打印机，计算机在网络的等和Windows功能类似网络邻居。

第 7 步：如果要通过公网IP地址，访问从您的专用LAN的互联网请检查NAT横越复选框。NAT横越用于出现内部系统的专用IP地址作为公共IP地址保护从所有恶意攻击或发现的专用IP地址。

步骤 8检查对端死机检测间隔通过Hello检查VPN通道或ACK的充满活力以定期方式。如果检查此复选框，请输入您希望hello消息的持续时间或间隔。

步骤 9检查扩展认证提供更多安全和验证给VPN连接。点击appropriate单选按钮延伸VPN连接的验证。

• IPSec主机-扩展认证通过IPSec主机。如果选择此选项，请在用户名字段输入IPSec主机和一个密码的用户名在密码字段。
• 边缘设备-扩展认证通过边缘设备。如果选择此选项，请选择包含从下拉列表的边缘设备的数据库。如果想要添加或编辑数据库，请单击添加/编辑。

注意：要认识更多关于怎样添加或编辑在RV320路由器的本地数据库参考的用户和域管理配置。

步骤10。检查模式配置为流入通道请求方提供IP地址。

注意：步骤9到步骤11为通道的VPN IKE预共享密钥模式是可用的。

步骤11.点击“Save”保存设置。

结论

您当前了解步骤配置单个客户端到在RV32x系列VPN路由器的网关VPN