IPSec VPN(虚拟专用网络)使您能够通过在Internet上建立加密隧道来安全地获取远程资源。
RV130和RV130W用作IPSec VPN服务器,并支持Shrew Soft VPN客户端。
确保下载客户端软件的最新版本。
·史鲁软(https://www.shrew.net/download/vpn)
注意:要成功设置和配置Shrew Soft VPN客户端与IPSec VPN服务器,您需要先配置IPSec VPN服务器。有关如何执行此操作的信息,请参阅RV130和RV130W上IPSec VPN服务器的配置文章。
本文档旨在向您展示如何使用Shrew Soft VPN客户端与RV130和RV130W上的IPSec VPN服务器连接。
· RV130W Wireless-N VPN防火墙
· RV130 VPN防火墙
· 32或64位系统
· Windows 2000、XP、Vista或Windows 7/8
下面显示了顶级拓扑,说明了Shrewsoft客户端到站点配置中涉及的设备。
下面显示了更详细的流程图,说明了DNS服务器在小型企业网络环境中的作用。
•1.0.1.3
步骤1.登录Web配置实用程序,然后选择VPN > IPSec VPN Server > Setup。“设置”页面打开。
步骤2.检验RV130的IPSec VPN服务器是否配置正确。如果IPSec VPN服务器未配置或配置错误,请参阅RV130和RV130W上的IPSec VPN服务器配置,然后单击保存。
注意:以上设置是RV130/RV130W IPSec VPN服务器配置的示例。这些设置基于文档“在RV130和RV130W上配置IPSec VPN服务器”,将在后续步骤中参考。
步骤3.导航至VPN > IPSec VPN Server > User。系统将显示“用户”页。
第4步。单击Add Row以添加用于验证VPN客户端(扩展身份验证)的用户帐户,并在提供的字段中输入所需的用户名和密码。
第 5 步: 点击 Save(保存),以保存设置。
步骤1.打开Shrew VPN Access Manager并单击“添加”添加配置文件。
系统将显示“VPN站点配置”窗口。
步骤2.在“常规”选项卡下的“远程主机”部分,输入您尝试连接的网络的公有主机名或IP地址。
注意:确保端口号设置为默认值500。为使VPN工作,隧道使用UDP端口500,该端口应设置为允许在防火墙转发ISAKMP流量。
步骤3.在Auto Configuration下拉列表中,选择禁用状态。
可用选项定义如下:
·禁用 — 禁用任何自动客户端配置。
· IKE Config Pull — 允许客户端从计算机设置请求。在计算机支持Pull方法的情况下,请求返回客户端支持的设置列表。
· IKE Config Push — 使计算机有机会通过配置过程为客户端提供设置。在计算机支持推送方法的情况下,请求返回客户端支持的设置列表。
· DHCP Over IPSec — 使客户端有机会通过DHCP over IPSec从计算机请求设置。
步骤4.在本地主机部分,从适配器模式下拉列表中选择使用现有适配器和当前地址。
可用选项定义如下:
·使用虚拟适配器和分配的地址 — 允许客户端使用具有指定地址的虚拟适配器作为其IPsec通信的源。
·使用虚拟适配器和随机地址 — 允许客户端使用具有随机地址的虚拟适配器作为其IPsec通信的源。
·使用现有适配器和当前地址 — 允许客户端仅使用其现有的物理适配器及其当前地址作为其IPsec通信的源。
步骤5.单击“客户端”选项卡。在NAT穿越下拉列表中,在RV130/RV130W上为NAT穿越配置RV130和RV130W上的IPSec VPN Server配置文章中,选择您在RV130/RV130W上配置的相同设置。
可用的网络地址转换遍历(NATT)菜单选项定义如下:
·禁用 — 不使用NATT协议扩展。
·启用 — 仅当VPN网关在协商期间指示支持并且检测到NAT时,才使用NAT协议扩展。
· Force-Draft — 无论VPN网关在协商期间是否表示支持或检测到NAT,都将使用NAT协议扩展的草案版本。
· Force-RFC — 无论VPN网关是否在协商期间指示支持或检测到NAT,都将使用NAT协议的RFC版本。
· Force-Cisco-UDP — 强制VPN客户端使用UDP封装,而不使用NAT。
步骤6.单击“名称解析”选项卡,如果要启用DNS,请选中“启用DNS”复选框。如果站点配置不需要特定DNS设置,请取消选中Enable DNS 复选框。
步骤7.(可选)如果远程网关配置为支持配置交换,则网关可以自动提供DNS设置。否则,验证Obtain Automatically(自动获取)复选框是否未选中,并手动输入有效的DNS服务器地址。
第8步。(可选)如果要启用Windows Internet Name Server(WINS),请单击“名称解析”选项卡,选中启用WINS复选框。 如果远程网关配置为支持配置交换,则网关可以自动提供WINS设置。否则,验证是否未选中自动获取复选框,并手动输入有效的WINS服务器地址。
注意:通过提供WINS配置信息,客户端将能够使用位于远程专用网络中的服务器解析WINS名称。当尝试使用统一命名约定路径名访问远程Windows网络资源时,此功能非常有用。WINS服务器通常属于Windows域控制器或Samba服务器。
步骤9.单击Authentication选项卡,然后在Authentication Method下拉列表中选择Mutual PSK + XAuth。
可用选项定义如下:
·混合RSA +扩展验证 — 不需要客户端凭证。客户端将对网关进行身份验证。凭证将以PEM或PKCS12证书文件或密钥文件类型的形式显示。
·混合GRP +扩展验证 — 不需要客户端凭证。客户端将对网关进行身份验证。凭证将以PEM或PKCS12证书文件和共享密钥字符串的形式显示。
· Mutual RSA +扩展验证 — 客户端和网关都需要凭证进行身份验证。凭证将以PEM或PKCS12证书文件或密钥类型的形式显示。
·互相PSK +扩展验证 — 客户端和网关都需要凭证进行身份验证。凭证将以共享密钥字符串的形式显示。
· Mutual RSA — 客户端和网关都需要凭证进行身份验证。凭证将以PEM或PKCS12证书文件或密钥类型的形式显示。
·互相PSK — 客户端和网关都需要凭证进行身份验证。凭证将以共享密钥字符串的形式显示。
步骤10.在Authentication 部分,单击Credentials 子选项卡,并在Pre Shared Key字段中输入在IPsec VPN Server Setup页上配置的相同预共享密钥。
步骤11.单击Phase 1选项卡。将以下参数配置为具有与本文档“IPSec VPN服务器用户配置”部分步骤2中为RV130/RV130W配置的设置相同。
Shrew Soft中的参数应与第1阶段的RV130/RV130W配置匹配,如下所示:
· “Exchange Type”应与“Exchange Mode”匹配。
· “DH交换”应与“DH组”匹配。
·“密码算法”应与“加密算法”匹配。
·“哈希算法”应与“身份验证算法”匹配。
第12步。(可选)如果网关在第1阶段协商期间提供Cisco兼容供应商ID,请选中Enable Check Point Compatible Vendor ID复选框。如果网关没有,或者您不确定,请取消选中此复选框。
步骤13.单击Phase 2选项卡。将以下参数配置为具有与本文档“IPSec VPN服务器用户配置”部分步骤2中为RV130/RV130W配置的设置相同。
Shrew Soft中的参数应与第2阶段的RV130/RV130W配置匹配,如下所示:
·“转换算法”应与“加密算法”匹配。
·“HMAC算法”应与“身份验证算法”匹配。
·如果RV130/RV130W上启用了PFS密钥组,则PFS Exchange应与“DH组”匹配。否则,选择disabled。
·“密钥生命期限”应与“IPSec SA生命期”匹配。
步骤14.单击“策略”选项卡,并在“策略生成级别”下拉列表中选择“需要”。策略生成级别选项修改生成IPsec策略的级别。下拉列表中提供的不同级别映射到由不同供应商实施实施的IPSec SA协商行为。
可用选项定义如下:
·自动 — 客户端将自动确定适当的IPSec策略级别。
·需要 — 客户端不会为每个策略协商唯一的安全关联(SA)。使用本地公有地址作为本地策略ID,使用远程网络资源作为远程策略ID生成策略。第2阶段建议将在协商期间使用策略ID。
·唯一 — 客户端将为每个策略协商一个唯一SA。
·共享 — 策略在要求级别生成。第2阶段建议在协商期间将本地策略ID用作本地ID,将Any(0.0.0.0/0)用作远程ID。
步骤15.取消选中Obtain Topology Automatically或Tunnel All复选框。此选项修改为连接配置安全策略的方式。禁用后,必须执行手动配置。启用后,将执行自动配置。
步骤16.单击Add以添加要连接到的远程网络资源。远程网络资源包括远程桌面访问、部门资源、网络驱动器和安全电子邮件。
系统将显示Topology Entry窗口:
步骤17.在Address字段中,输入RV130/RV130W的子网ID。该地址应与本文档“IPSec VPN服务器设置和用户配置”部分的“步骤2”中的“IP地址”字段匹配。
步骤18.在Netmask字段中,输入RV130/RV130W的本地网络的子网掩码。网络掩码应与本文档“IPSec VPN服务器用户配置”部分的“步骤2”中的“子网掩码”字段匹配。
步骤19.单击“确定”以完成远程网络资源的添加。
步骤20.单击Save以保存连接到VPN站点的配置。
步骤21.返回VPN Access Manager窗口以选择您配置的VPN站点,然后单击“连接”按钮。
系统将显示“VPN Connect”窗口。
步骤22.在“凭证”部分,输入您在本文档的“IPSec VPN服务器用户配置”部分的第4步中设置的帐户的用户名和密码。
步骤23.单击Connect to VPN into the RV130/RV130W。
IPSec VPN隧道已建立,VPN客户端可以访问RV130/RV130W LAN后的资源。