使用Shrew Soft VPN客户端在RV130和RV130W上连接IPSec VPN服务器

目标

IPSec VPN（虚拟专用网络）使您能够通过在Internet上建立加密隧道来安全地获取远程资源。

RV130和RV130W用作IPSec VPN服务器，并支持Shrew Soft VPN客户端。

确保下载客户端软件的最新版本。

·史鲁软(https://www.shrew.net/download/vpn)

注意：要成功设置和配置Shrew Soft VPN客户端与IPSec VPN服务器，您需要先配置IPSec VPN服务器。有关如何执行此操作的信息，请参阅RV130和RV130W上IPSec VPN服务器的配置文章。

本文档旨在向您展示如何使用Shrew Soft VPN客户端与RV130和RV130W上的IPSec VPN服务器连接。

适用设备

· RV130W Wireless-N VPN防火墙

· RV130 VPN防火墙

系统要求

· 32或64位系统

· Windows 2000、XP、Vista或Windows 7/8

拓扑

下面显示了顶级拓扑，说明了Shrewsoft客户端到站点配置中涉及的设备。

下面显示了更详细的流程图，说明了DNS服务器在小型企业网络环境中的作用。

软件版本

•1.0.1.3

设置Shrew Soft VPN客户端

IPSec VPN设置和用户配置

步骤1.登录Web配置实用程序，然后选择VPN > IPSec VPN Server > Setup。“设置”页面打开。

步骤2.检验RV130的IPSec VPN服务器是否配置正确。如果IPSec VPN服务器未配置或配置错误，请参阅RV130和RV130W上的IPSec VPN服务器配置，然后单击保存。

注意：以上设置是RV130/RV130W IPSec VPN服务器配置的示例。这些设置基于文档“在RV130和RV130W上配置IPSec VPN服务器”，将在后续步骤中参考。

步骤3.导航至VPN > IPSec VPN Server > User。系统将显示“用户”页。

第4步。单击Add Row以添加用于验证VPN客户端（扩展身份验证）的用户帐户，并在提供的字段中输入所需的用户名和密码。

第 5 步： 点击 Save（保存），以保存设置。

VPN 客户端配置

步骤1.打开Shrew VPN Access Manager并单击“添加”添加配置文件。

系统将显示“VPN站点配置”窗口。

步骤2.在“常规”选项卡下的“远程主机”部分，输入您尝试连接的网络的公有主机名或IP地址。

注意：确保端口号设置为默认值500。为使VPN工作，隧道使用UDP端口500，该端口应设置为允许在防火墙转发ISAKMP流量。

步骤3.在Auto Configuration下拉列表中，选择禁用状态。

可用选项定义如下：

·禁用 — 禁用任何自动客户端配置。

· IKE Config Pull — 允许客户端从计算机设置请求。在计算机支持Pull方法的情况下，请求返回客户端支持的设置列表。

· IKE Config Push — 使计算机有机会通过配置过程为客户端提供设置。在计算机支持推送方法的情况下，请求返回客户端支持的设置列表。

· DHCP Over IPSec — 使客户端有机会通过DHCP over IPSec从计算机请求设置。

步骤4.在本地主机部分，从适配器模式下拉列表中选择使用现有适配器和当前地址。

可用选项定义如下：

·使用虚拟适配器和分配的地址 — 允许客户端使用具有指定地址的虚拟适配器作为其IPsec通信的源。

·使用虚拟适配器和随机地址 — 允许客户端使用具有随机地址的虚拟适配器作为其IPsec通信的源。

·使用现有适配器和当前地址 — 允许客户端仅使用其现有的物理适配器及其当前地址作为其IPsec通信的源。

步骤5.单击“客户端”选项卡。在NAT穿越下拉列表中，在RV130/RV130W上为NAT穿越配置RV130和RV130W上的IPSec VPN Server配置文章中，选择您在RV130/RV130W上配置的相同设置。

可用的网络地址转换遍历(NATT)菜单选项定义如下：

·禁用 — 不使用NATT协议扩展。

·启用 — 仅当VPN网关在协商期间指示支持并且检测到NAT时，才使用NAT协议扩展。

· Force-Draft — 无论VPN网关在协商期间是否表示支持或检测到NAT，都将使用NAT协议扩展的草案版本。

· Force-RFC — 无论VPN网关是否在协商期间指示支持或检测到NAT，都将使用NAT协议的RFC版本。

· Force-Cisco-UDP — 强制VPN客户端使用UDP封装，而不使用NAT。

步骤6.单击“名称解析”选项卡，如果要启用DNS，请选中“启用DNS”复选框。如果站点配置不需要特定DNS设置，请取消选中Enable DNS 复选框。

步骤7.（可选）如果远程网关配置为支持配置交换，则网关可以自动提供DNS设置。否则，验证Obtain Automatically(自动获取)复选框是否未选中，并手动输入有效的DNS服务器地址。

第8步。（可选）如果要启用Windows Internet Name Server(WINS)，请单击“名称解析”选项卡，选中启用WINS复选框。 如果远程网关配置为支持配置交换，则网关可以自动提供WINS设置。否则，验证是否未选中自动获取复选框，并手动输入有效的WINS服务器地址。

注意：通过提供WINS配置信息，客户端将能够使用位于远程专用网络中的服务器解析WINS名称。当尝试使用统一命名约定路径名访问远程Windows网络资源时，此功能非常有用。WINS服务器通常属于Windows域控制器或Samba服务器。

步骤9.单击Authentication选项卡，然后在Authentication Method下拉列表中选择Mutual PSK + XAuth。

可用选项定义如下：

·混合RSA +扩展验证 — 不需要客户端凭证。客户端将对网关进行身份验证。凭证将以PEM或PKCS12证书文件或密钥文件类型的形式显示。

·混合GRP +扩展验证 — 不需要客户端凭证。客户端将对网关进行身份验证。凭证将以PEM或PKCS12证书文件和共享密钥字符串的形式显示。

· Mutual RSA +扩展验证 — 客户端和网关都需要凭证进行身份验证。凭证将以PEM或PKCS12证书文件或密钥类型的形式显示。

·互相PSK +扩展验证 — 客户端和网关都需要凭证进行身份验证。凭证将以共享密钥字符串的形式显示。

· Mutual RSA — 客户端和网关都需要凭证进行身份验证。凭证将以PEM或PKCS12证书文件或密钥类型的形式显示。

·互相PSK — 客户端和网关都需要凭证进行身份验证。凭证将以共享密钥字符串的形式显示。

步骤10.在Authentication 部分，单击Credentials 子选项卡，并在Pre Shared Key字段中输入在IPsec VPN Server Setup页上配置的相同预共享密钥。

步骤11.单击Phase 1选项卡。将以下参数配置为具有与本文档“IPSec VPN服务器用户配置”部分步骤2中为RV130/RV130W配置的设置相同。

Shrew Soft中的参数应与第1阶段的RV130/RV130W配置匹配，如下所示：

· “Exchange Type”应与“Exchange Mode”匹配。

· “DH交换”应与“DH组”匹配。

·“密码算法”应与“加密算法”匹配。

·“哈希算法”应与“身份验证算法”匹配。

第12步。（可选）如果网关在第1阶段协商期间提供Cisco兼容供应商ID，请选中Enable Check Point Compatible Vendor ID复选框。如果网关没有，或者您不确定，请取消选中此复选框。

步骤13.单击Phase 2选项卡。将以下参数配置为具有与本文档“IPSec VPN服务器用户配置”部分步骤2中为RV130/RV130W配置的设置相同。

Shrew Soft中的参数应与第2阶段的RV130/RV130W配置匹配，如下所示：

·“转换算法”应与“加密算法”匹配。

·“HMAC算法”应与“身份验证算法”匹配。

·如果RV130/RV130W上启用了PFS密钥组，则PFS Exchange应与“DH组”匹配。否则，选择disabled。

·“密钥生命期限”应与“IPSec SA生命期”匹配。

步骤14.单击“策略”选项卡，并在“策略生成级别”下拉列表中选择“需要”。策略生成级别选项修改生成IPsec策略的级别。下拉列表中提供的不同级别映射到由不同供应商实施实施的IPSec SA协商行为。

可用选项定义如下：

·自动 — 客户端将自动确定适当的IPSec策略级别。

·需要 — 客户端不会为每个策略协商唯一的安全关联(SA)。使用本地公有地址作为本地策略ID，使用远程网络资源作为远程策略ID生成策略。第2阶段建议将在协商期间使用策略ID。

·唯一 — 客户端将为每个策略协商一个唯一SA。

·共享 — 策略在要求级别生成。第2阶段建议在协商期间将本地策略ID用作本地ID，将Any(0.0.0.0/0)用作远程ID。

步骤15.取消选中Obtain Topology Automatically或Tunnel All复选框。此选项修改为连接配置安全策略的方式。禁用后，必须执行手动配置。启用后，将执行自动配置。

步骤16.单击Add以添加要连接到的远程网络资源。远程网络资源包括远程桌面访问、部门资源、网络驱动器和安全电子邮件。

系统将显示Topology Entry窗口：

步骤17.在Address字段中，输入RV130/RV130W的子网ID。该地址应与本文档“IPSec VPN服务器设置和用户配置”部分的“步骤2”中的“IP地址”字段匹配。

步骤18.在Netmask字段中，输入RV130/RV130W的本地网络的子网掩码。网络掩码应与本文档“IPSec VPN服务器用户配置”部分的“步骤2”中的“子网掩码”字段匹配。

步骤19.单击“确定”以完成远程网络资源的添加。

步骤20.单击Save以保存连接到VPN站点的配置。

步骤21.返回VPN Access Manager窗口以选择您配置的VPN站点，然后单击“连接”按钮。

系统将显示“VPN Connect”窗口。

步骤22.在“凭证”部分，输入您在本文档的“IPSec VPN服务器用户配置”部分的第4步中设置的帐户的用户名和密码。

步骤23.单击Connect to VPN into the RV130/RV130W。

IPSec VPN隧道已建立，VPN客户端可以访问RV130/RV130W LAN后的资源。