本文介绍如何借助第三方 VPN 客户端软件(如 Green Bow 或 VPN Tracker)配置从客户端到 RV016、RV042、RV042G 和 RV082 VPN 路由器网关的远程访问虚拟专用网 (VPN) 隧道。
VPN 是一种专用网络,用于通过公共网络虚拟连接远程用户的设备,以提供安全性。远程访问隧道 VPN 是用于配置客户端计算机和网络之间 VPN 的过程。通过 VPN 客户端软件在用户的台式机或笔记本电脑中配置客户端。它为用户提供与网络的远程安全连接。客户端到网关 VPN 连接有助于远程员工通过远程、安全的方式连接到办公室网络。
第 1 步: 登录到 Web 配置实用程序,然后选择 VPN > Client to Gateway(客户端到网关)。系统将打开 Client to Gateway(客户端到网关)页面:
第 1 步: 根据要添加的隧道类型,点击相应的单选按钮。
隧道编号是自动生成的字段,显示隧道的编号。
第 2 步: 在“Tunnel Name”(隧道名称)字段中输入隧道的名称。
第 3 步: 从“Interface”(接口)下拉列表中选择要用于 VPN 隧道的相应 WAN 接口。
第 4 步: (可选)要启用 VPN,请选中“Enable”(启用)字段中的复选框。默认情况下,始终选中该复选框。
第 1 步: 从 Local Security Gateway(本地安全网关)下拉列表中选择适当的路由器识别方法,以建立 VPN 隧道。 如果在 Add A New Tunnel(添加新隧道)部分的第 1 步中选择了“Group VPN”(组 VPN),请跳过此步骤。
第 2 步: 如果在第 1 步中选择 IP + Domain Name (FQDN) Authentication(IP + 域名 [FQDN] 身份验证)或 Dynamic IP + Domain Name (FQDN) Authentication(动态 IP + 域名 [FQDN] 身份验证),请在“Domain Name”(域名)字段中输入所注册的完全限定域名称。
第 3 步: 如果在第 1 步中选择 IP + E-mail Address(USER FQDN) Authentication(IP + 邮件地址 [用户 FQDN] 身份验证)或 Dynamic IP + E-mail Address(USER FQDN) Authentication(动态 IP + 邮件地址 [用户 FQDN] 身份验证),请在“Email Address”(邮件地址)字段中输入邮件地址。
第 4 步: 从 Local Security Group(本地安全组)下拉列表中选择可以访问 VPN 隧道的相应本地 LAN 用户或用户组。默认为子网。
第 5 步: 点击 Save(保存),以保存设置。
步骤1.如果选择Tunnel,请从Remote Security Gateway Type下拉列表中选择适当的客户端标识方法来建立VPN隧道。默认值为“仅IP”。如果选择了“添加新隧道”部分的步骤1中的“组VPN”,请跳过此步骤。
第 2 步: 如果在第 1 步中选择 IP Only(仅 IP)、IP + Domain Name (FQDN)(IP + 域名 [FQDN])或 IP + E-mail Address (User FQDN) Authentication(IP + 邮件地址 [用户 FQDN] 身份验证),请在 IP Address(IP 地址)字段中输入远程客户端的 IP 地址。
第 3 步: 如果在第 1 步中选择 IP Only(仅 IP)或 IP + Domain Name (FQDN) Authentication(IP + 域名 [FQDN] 身份验证)或 IP + E-mail Address(USER FQDN) Authentication(IP + 邮件地址 [用户 FQDN] 身份验证),则请从下拉列表中选择适当的选项,以输入 IP 地址(若您知道 IP 地址)或从 DNS 服务器解析 IP 地址。
第 4 步: 如果在第 1 步中选择 IP + Domain Name (FQDN) Authentication(IP + 域名 [FQDN] 身份验证)或 Dynamic IP+ Domain Name (FQDN) Authentication(动态 IP + 域名 [FQDN] 身份验证),请在“Domain name”(域名)字段中输入 IP 地址的域名。
第 5 步: 如果在第 1 步中选择 IP + E-mail Address(USER FQDN) Authentication(IP + 邮件地址 [用户 FQDN] 身份验证)或 Dynamic IP + E-mail Address(USER FQDN) Authentication(动态 IP + 邮件地址 [用户 FQDN] 身份验证),请在“Email Address”(邮件地址)字段中输入邮件地址。
步骤6.如果选择组,请从远程客户端下拉列表中选择适当的远程客户端类型。如果选择了“添加新隧道”部分的步骤1中的隧道VPN。
第 7 步: 点击 Save(保存),以保存设置。
互联网协议安全(IPSec)是一种互联网层安全协议,其在任何通信会话期间通过身份验证和加密提供端到端安全。
注意:VPN的两端需要使用相同的加密、解密和身份验证方法,IPSec才能正常工作。此外,隧道两端的完全向前保密密钥也必须相同。
第 1 步: 从 Keying Mode(密钥模式)下拉列表中选择适当的密钥管理模式,以确保安全。默认模式为 IKE with Preshared key(带预共享密钥的 IKE)。
第 1 步: 在 Incoming SPI(传入 SPI)字段中,输入传入安全参数索引 (SPI) 的唯一十六进制值。SPI 包含封装安全负载协议 (ESP) 报头中,它们共同确定对传入数据包的保护方式。您可以输入 100 到 ffffffff。本地路由器的传入 SPI 需要与远程路由器的传出 SPI 匹配。
第 2 步: 在 Outgoing SPI(传出 SPI) 字段中输入传出安全参数索引 (SPI) 的唯一十六进制值。SPI在封装安全负载协议(ESP)报头中传输,ESP报头共同确定对传出数据包的保护。您可以输入100到ffffffff。远程路由器的传出 SPI 需要与本地路由器的传入 SPI 匹配。
第 3 步: 从 Encryption(加密)下拉列表中选择适当的加密方法。建议的加密是3DES。VPN隧道需要对两端使用相同的加密方法。
第 4 步: 从 Authentication(身份验证)下拉列表中选择适当的数据身份验证方法。建议的身份验证是SHA1,因为它比MD5更安全。VPN隧道需要对两端使用相同的身份验证方法。
第 5 步: 在 Encryption Key(加密密钥)字段中输入密钥,以加密和解密数据。如果您在第 3 步中选择 DES 作为加密方法,请输入 16 位十六进制值。如果您在第 3 步中选择 3DES 作为加密方法,请输入 40 位十六进制值。
步骤6.在“身份验证密钥”字段中输入预共享密钥以对流量进行身份验证。如果在步骤4中选择MD5作为身份验证方法,请输入32位十六进制值。如果您在第 4 步中选择 SHA 作为身份验证方法,请输入 40 位十六进制值。VPN 隧道的两端需要使用相同的预共享密钥。
第 7 步: 点击 Save(保存),以保存设置。
第 1 步: 从 Phase 1 DH Group(第 1 阶段 DH 组) 下拉列表中选择适当的第 1 阶段 DH 组。第 1 阶段用于在隧道两端之间建立单工逻辑安全关联 (SA),以支持安全的身份验证通信。Diffie-hellman (DH) 是一种加密密钥交换协议,用于在第 1 阶段确定密钥强度并共享密钥以验证通信。
第 2 步:从 Phase 1 Encryption(第 1 阶段加密)下拉列表中选择适当的第 1 阶段加密来加密密钥。推荐使用 3DES,因为它是最安全的加密方法。VPN 隧道的两端需要使用相同的加密方法。
步骤3.从第1阶段身份验证下拉列表中选择适当的第1阶段身份验证方法。VPN隧道需要对两端使用相同的身份验证方法。
第 4 步: 在 Phase 1 SA Life Time(第 1 阶段 SA 生存时间)字段中,输入第 1 阶段密钥有效且 VPN 隧道保持活动状态的时间(以秒为单位)。
步骤5.选中Perfect Forward Secrecy复选框,以对密钥提供更多保护。如果任何密钥被盗取,此选项允许路由器生成新密钥。加密的数据只会通过被盗取的密钥泄露。因此,它可提供更安全的通信并对其进行身份验证,其原因在于即使一个密钥被盗取,它也能保护其他密钥。推荐采取此操作,因为它可以提供更高的安全性。
第 6 步:从 Phase 2 DH Group(第 2 阶段 DH 组)下拉列表中选择适当的第 2 阶段 DH 组。第 2 阶段使用安全关联,用于在数据包通过两个终端时确定数据包的安全性。
第 7 步: 从 Phase 2 Encryption(第 2 阶段加密)下拉列表中选择适当的第 2 阶段加密来加密密钥。推荐使用 AES-256,因为它是最安全的加密方法。VPN 隧道的两端需要使用相同的加密方法。
步骤8.从第2阶段身份验证下拉列表中选择适当的身份验证方法。VPN隧道需要对两端使用相同的身份验证方法。
第 9 步: 在 Phase 2 SA Life Time(第 2 阶段 SA 生存时间)字段中,输入第 2 阶段密钥有效且 VPN 隧道保持活动状态的时间(以秒为单位)。
第 10 步: 在 Preshared Key(预共享密钥)字段中输入之前在 IKE 对等体之间共享的密钥,以对对等体进行身份验证。最多可以使用 30 个十六进制字符作为预共享密钥。VPN 隧道的两端需要使用相同的预共享密钥。
注意:强烈建议经常更改 IKE 对等体之间的预共享密钥,以便 VPN 保持安全。
步骤11.如果要启用预共享密钥的强度计,请选中Minimum Preshared Key Complexity复选框。它用于通过颜色条确定预共享密钥的强度。
注意:预共享密钥强度计通过颜色条显示预共享密钥的强度。红色表示强度弱,黄色表示强度可接受,绿色表示强度高。
步骤12.单击“保存”以保存设置。
第 1 步: 点击 Advanced(高级),以显示带预共享密钥的 IKE 的高级设置。
步骤2.如果网络速度低,请选中Aggressive Mode复选框。这将在 SA 连接期间以明文形式交换隧道终端的 ID(第 1 阶段),这需要较少的交换时间,但安全性较低。
注意:积极模式不适用组客户端到网关 VPN 的连接。
步骤3.如果要压缩IP数据报的大小,请选中Compress(Support IP Payload Compression Protocol(IPComp))复选框。IPComp 是一种 IP 压缩协议,用于压缩 IP 数据报的大小。如果网络速度较慢,并且用户希望通过慢速网络快速传输数据而不会造成任何损失,则 IP 压缩非常有用,但它无法提供任何安全性。
步骤4.如果始终希望VPN隧道的连接保持活动状态,请选中Keep-Alive复选框。如果任何连接变为非活动状态,Keep Alive 有助于立即重新建立连接。
步骤5.如果要启用Authenticate Header(AH),请选中AH Hash Algorithm复选框。AH 通过校验和提供源数据和数据完整性的身份验证,并为 IP 报头提供保护。隧道的两端应使用相同的算法。
步骤6.如果要允许不可路由的流量通过VPN隧道,请选中NetBIOS广播。默认情况下为未选中状态。NetBIOS 用于通过一些软件应用和网上邻居等 Windows 功能来检测网络中的网络资源,例如打印机、计算机等。
步骤7.如果要通过公有IP地址从私有LAN访问Internet,请选中NAT Traversal复选框。如果 VPN 路由器在 NAT 网关之后,请选中此复选框以启用 NAT 遍历。隧道的两端必须具有相同的设置。
步骤8.选中Dead Peer Detection Interval以定期检查通过Hello或ACK的VPN隧道的活动性。如果选中此复选框,请输入 Hello 消息的所需持续时间或间隔。
注意:只能为单个客户端到网关 VPN 连接配置失效对等体检测间隔,不能为组客户端到网关 VPN 连接配置该间隔。
第 9 步: 点击 Save(保存),以保存设置。
现在,您已经了解如何在 RV016、RV042、RV042G 和 RV082 VPN 路由器上配置从客户端到网关的远程访问 VPN 隧道。