设置一个远程访问隧道(网关的客户端) RV016、RV042、RV042G和RV082 VPN路由器的VPN客户端的

目标

此条款说明如何配置远程访问虚拟专用网络(VPN)通道从客户端到在RV016、RV042、RV042G和RV082 VPN路由器的网关在第三方VPN客户端软件帮助下作为绿色弓或VPN跟踪仪。

简介

VPN是使用通过公共网络实际上连接远程用户设备提供安全的私有网络。远程访问隧道VPN是用于的进程配置在客户端计算机和网络之间的VPN。客户端在用户的桌面或笔记本电脑配置通过VPN客户端软件。它提供用户远程安全地连接网络。网关VPN连接的客户端是有用的为了异地的员工能远程和安全地连接对办公室网络。

可适用的设备

• RV016
• RV042
• RV042G
• RV082

软件版本

• v4.2.2.08

配置VPN通道

步骤1.登陆到Web配置工具并且选择VPN >客户端到网关。网关页的客户端打开：

添加新通道

步骤1.根据什么样的通道单击appropriate单选按钮您想要添加。

• 通道-代表远程单个用户的一个通道。
• 组VPN -代表用户的一远程组的一个通道。

隧道编号是显示通道的编号的一个自动地生成的字段。

 

步骤2.在通道名称名称字段输入一名称对于通道。

步骤3.选择适当的广域网接口使用从接口下拉列表的VPN通道。

步骤4. (可选)启用VPN，在Enable字段检查复选框。默认情况下总是被检查。

本地组设置

步骤1.选择适当的路由器识别方法设立从本地安全网关下拉列表的一个VPN通道。 如果选择在添加的Step1的组VPN新通道部分，请跳到此步骤。

• 仅IP -对通道的访问通过一个静态WAN IP地址是可能的。只有当路由器有静态广域网IP，您能选择此选项。静态WAN IP地址自动地出现。
• IP+对通道的Domain Name(FQDN)验证访问通过静态IP地址和一个已注册完全合格的域名(FQDN)域是可能的。静态WAN IP地址是自动生成的字段。
• IP+对通道的电子邮件地址(用户FQDN)验证访问通过静态IP地址和电子邮件地址是可能的。静态WAN IP地址是自动生成的字段。
• 动态IP +对通道的Domain Name(FQDN)验证访问通过动态IP地址和一个已注册域是可能的。 
• 动态IP +对通道的电子邮件地址(用户FQDN)验证访问通过动态IP地址和电子邮件地址是可能的。 

步骤2.请在域名字段输入已注册完全合格的域的名称，如果选择IP+域名(FQDN)验证或动态IP +在Step1的域名(FQDN)验证。

步骤3.请在电子邮件地址字段输入电子邮件地址，如果选择IP+电子邮件地址(用户FQDN)验证或动态IP +在Step1的电子邮件地址(用户FQDN)验证。

步骤4.选择能访问从本地安全组下拉列表的VPN通道用户的适合的本地LAN用户或组。默认是子网。

• IP -仅一个特定LAN设备能对通道的访问。如果选择此选项，请输入LAN设备的IP地址在IP地址字段的。默认IP是192.168.1.0。
• 子网-在一特定子网的所有LAN设备能对通道的访问。如果选择此选项，请在各自IP地址和子网掩码字段输入LAN设备的IP地址和子网掩码。默认掩码是255.255.255.0。
• IP范围-范围LAN设备能对通道的访问。如果选择此选项，请输入在开始IP的开始的和结束的IP地址并且结束各自IP字段。默认范围是从192.168.1.0到192.168.1.254。

步骤5.点击“Save”保存设置。

远程客户端设置

第 1 步：如果选择通道，请选择适当的客户端识别方法设立从远程安全网关类型下拉列表的一个VPN通道。默认是仅IP。 如果在添加的Step1的组VPN新通道部分选择，请跳到此步骤。

• 仅IP -对通道的访问通过只有客户端的静态广域网IP是可能的。您必须认识客户端的静态广域网IP使用此选项。 
• IP+对通道的Domain Name(FQDN)验证访问通过客户端和一个已注册域的静态IP地址是可能的。 
• IP+对通道的电子邮件地址(用户FQDN)验证访问通过客户端和电子邮件地址的静态IP地址是可能的。 
• 动态IP +对通道的Domain Name(FQDN)验证访问通过客户端和一个已注册域的动态IP地址是可能的。 
• 动态IP +对通道的电子邮件地址(用户FQDN)验证访问通过客户端和电子邮件地址的动态IP地址是可能的。 

步骤2.输入远程客户端的IP地址IP地址字段，如果选择仅IP， IP+在Step1的域名(FQDN)，或者IP+电子邮件地址的(用户FQDN)验证。

步骤3.从下拉列表选择适当的选项输入IP地址，如果认识它或解决从DNS服务器的IP地址，如果选择IP仅或IP+域名(FQDN)在Step1的验证或IP+电子邮件地址(用户FQDN)验证。

• IP地址-代表远程客户端的静态IP地址。在字段进入静态IP地址。
• 由被解决的DNS的IP -代表通过本地DNS服务器自动地检索IP地址IP地址的域名，如果不认识远程客户端的静态IP地址。在字段输入IP地址的域名。

步骤4.请在域名字段输入IP地址的域名，如果选择IP+域名(FQDN)验证或动态IP +在Step1的域名(FQDN)验证。

步骤5.请在电子邮件地址字段输入电子邮件地址，如果选择IP+电子邮件地址(用户FQDN)验证或动态IP +在Step1的电子邮件地址(用户FQDN)验证。

第六步：如果选择组，请从远程客户端下拉列表选择适当的远程客户端类型。 如果在添加的Step1的通道VPN新通道部分选择，请跳到此步骤。

• 域名(FQDN) -对通道的访问通过一个已注册域是可能的。如果选择此选项，请在域名字段输入已注册域的名称。
• 电子邮件地址。(用户FQDN) -对通道的访问通过客户端的电子邮件地址是可能的。如果选择此选项，请在电子邮件地址字段输入电子邮件地址。
• Microsoft XP/2000 VPN客户端-对通道的访问通过Microsoft XP或Microsoft 2000 windows软件是可能的。有Microsoft VPN客户端软件的远程用户通过软件能对通道的访问。

步骤7.点击“Save”保存设置。

IPSec设置

Internet协议安全性(IPSec)是在所有通信会话期间，通过验证提供端到端安全和加密的互联网层安全协议。

注意： VPN的二末端需要有加密、解密和验证同样方法IPSec的能工作。并且优秀的转发保密性密钥必须是同样在通道的两边。

步骤1.选择appropriate模式密钥管理保证从密钥模式下拉列表的安全。默认模式是与预共享密匙的IKE。

• 手工-单独生成一个新的安全密钥和与密钥的协商的一个自定义安全模式。使用在故障排除和小静态环境期间，是最佳的。如果选择在Step1的组VPN请添加一个新通道部分，此选项禁用。
• 与预共享密匙的IKE - Internet Key Exchange (IKE)协议用于自动地生成，并且交换预共享密匙设立请验证通道的通信。 

指南关键模式配置

步骤1.在流入SPI字段输入流入安全参数索引的(SPI)唯一十六进制值。SPI是一起确定流入数据包的保护的输入的封装安全有效载荷协议(ESP)报头。您能从100输入到ffffffff。本地路由器需要的流入SPI匹配与远程路由器的流出的SPI。

步骤2.在流出的SPI字段输入流出的安全参数索引的(SPI)唯一十六进制值。SPI是一起确定输出数据包的保护的输入的封装安全有效载荷协议(ESP)报头。 您能从100输入到ffffffff。远程路由器需要的流出的SPI匹配与本地路由器的流入SPI。

步骤3.从加密下拉列表选择数据的适当的加密方法。推荐的加密是3DES。 VPN通道需要使用同一个加密方法两端。

• DES -数据加密标准(DES)使用56位密钥大小数据加密。如果一个终端只支持DES， DES是过时的，并且应该只使用。
• 3DES -三重数据加密标准(3DES)是168位，简单加密方法。3DES加密数据三次，提供更多安全然后DES。

步骤4.从验证下拉列表选择数据的适当的认证方法。因为比MD5，是安全的更多推荐的验证是SHA1。VPN通道需要使用同一认证方法两端。

• MD5 -消息摘要Algorithm-5 (MD5)代表32个提供防护给数据从恶意攻击由校验和计算的位十六进制散列函数。
• SHA1 -安全散列算法版本1 (SHA1)是比MD5是安全的更多的160位散列数据功能，但是它花些更多时间计算。

步骤5.在加密密钥关键字域输入密钥加密和解密数据。如果选择DES作为在步骤3的加密方法，请输入一16个位十六进制值。如果选择3DES作为在步骤3的加密方法，请输入一40个位十六进制值。

步骤6.在认证密钥关键字域输入预先共享密钥验证流量。 如果选择MD5作为在步骤4的认证方法，请输入32个位十六进制值。如果选择SHA作为在步骤4的认证方法，请输入40个位十六进制值。VPN通道需要使用同一预共享密匙两个其末端。

步骤7.点击“Save”保存设置。

与预共享密匙模式配置的IKE

步骤1.从阶段1 DH组下拉列表选择适合的阶段1 DH组。阶段1用于设立单工，在通道的二末端的之间逻辑安全关联(SA)支持安全验证通信。Diffie-Hellman (DH)是用于确定密钥优点在阶段1期间的加密密钥交换协议，并且也共享密钥验证通信。 

• Group1 - 768位-最低的优点密钥和最不安全的验证组。但是需要较少时间计算IKE密钥。此选项更喜欢网络的速度是否低。
• 第2组- 1024位-更加高强度的密钥等等安全验证组。但是它需要一些时间计算IKE密钥。 
• Group5 - 1536位-代表最高强度的密钥和多数巩固验证组。它需要更多时刻计算IKE密钥。更喜欢网络的速度是否高。

 

步骤2.选择适当的阶段1加密加密从阶段1加密下拉列表的密钥。3DES，因为是多数安全加密方法，推荐。VPN通道需要使用同一个加密方法两个其末端。

• DES -数据加密标准(DES)使用56位密钥大小数据加密。如果一个终端只支持DES， DES是过时的，并且应该只使用。
• 3DES -三重数据加密标准(3DES)是168位，简单加密方法。3DES加密数据三次，提供更多安全然后DES。
• AES-128 -高级加密标准(AES)是128变换纯文本到密码文本through10周期重复的位加密方法。
• AES-192 -高级加密标准(AES)是192变换纯文本到密码文本通过12周期重复的位加密方法。AES-192比AES-128是安全的更多。
• AES-256 -高级加密标准(AES)是256变换纯文本到密码文本通过14周期重复的位加密方法。AES-256是多数安全加密方法。

步骤3.从阶段1验证下拉列表选择适当的阶段1认证方法。 VPN通道需要使用同一认证方法两个其末端。

• MD5 -提供防护给数据从恶意攻击由校验和计算的消息摘要Algorithm-5 (MD5)代表32个位十六进制散列函数。
• SHA1 -安全散列算法版本1 (SHA1)是比MD5是安全的更多的160位散列数据功能，但是它花些更多时间计算。

步骤4.以秒钟输入时间阶段1密钥有效，并且VPN通道在SA阶段1生命时间字段依然是活动。

第 5 步：检查优秀的转发保密性复选框提供更多防护给密钥。如果任何密钥减弱，此选项允许路由器生成新密钥。已加密数据通过减弱的密钥只减弱。因此它提供更加安全并且验证通信，当巩固其他密钥密钥虽则减弱。这是推荐的操作作为它提供更多安全。

步骤6.从第2阶段DH组下拉列表选择适合的第2阶段DH组。第2阶段使用安全关联，并且用于确定数据包的安全在数据包期间穿过两端点。

Group1 - 768位-代表最低的优点密钥和最不安全的验证组。但是它需要较少时刻计算IKE密钥。更喜欢网络的速度是否低。

第2组- 1024位-代表更加高强度的密钥等等安全验证组。但是它需要一些时间计算IKE密钥。 

Group5 - 1536位-代表最高强度的密钥和多数巩固验证组。它需要更多时刻计算IKE密钥。更喜欢网络的速度是否高。

步骤7.选择适当的第2阶段加密加密从第2阶段加密下拉列表的密钥。AES-256，因为是多数安全加密方法，推荐。VPN通道需要使用同一个加密方法两个其末端。

• DES -数据加密标准(DES)使用56位密钥大小数据加密。如果一个终端只支持DES， DES是过时的，并且应该只使用。
• 3DES -三重数据加密标准(3DES)是168位，简单加密方法。3DES加密数据三次，提供更多安全然后DES。
• AES-128 -高级加密标准(AES)是128变换纯文本到密码文本through10周期重复的位加密方法。
• AES-192 -高级加密标准(AES)是192变换纯文本到密码文本通过12周期重复的位加密方法。AES-192比AES-128是安全的更多。
• AES-256 -高级加密标准(AES)是256变换纯文本到密码文本通过14周期重复的位加密方法。AES-256是多数安全加密方法。

步骤8.从第2阶段验证下拉列表选择适当的认证方法。 VPN通道需要使用同一认证方法两端。

• MD5 -提供防护给数据从恶意攻击由校验和计算的消息摘要Algorithm-5 (MD5)代表32个位十六进制散列函数。
• SHA1 -安全散列算法版本1 (SHA1)是比MD5是安全的更多的160位散列数据功能，但是它花些更多时间计算。
• 空-没有使用认证方法。

步骤9.以秒钟输入时间第2阶段密钥有效，并且VPN通道在SA第2阶段生命时间字段依然是活动。

步骤10.输入以前共享在IKE对等体之间验证对等体在预共享密钥字段的密钥。30十六进制和字符可以使用作为预共享密匙。VPN通道需要使用同一预共享密匙两个其末端。

注意：严格推荐频繁地更改在IKE对等体之间的预共享密匙，因此VPN保持巩固。 

步骤 11如果要启用预共享密匙的，优点公尺请检查最低的预共享密匙复杂性复选框。它使用为通过对有色人种的歧视确定预共享密匙的优点

Note:预共享密匙优点公尺通过对有色人种的歧视显示预共享密匙的优点。红色指示弱优点，黄色指示可接受优点和绿色指示强优点。

步骤 12点击“Save”保存设置。

与Pre-Shared Key模式配置的先进的IKE

步骤1.单击先进显示IKE的先进的设置与预共享密匙。 

第二步：如果您的网络速度低，请检查积极模式复选框。这在SA连接(相位1)时交换通道的端点的ID在明文的，需要较少时刻交换，但是安全的较少。

注意：积极模式为组客户机不是可用的对网关VPN连接。

第 3 步：检查压缩(支持IP有效负载压缩协议(IPComp)) 复选框，如果要压缩IP数据包的大小。IPComp是用于压缩大小IP数据包的IP压缩协议。IP压缩是有用的，如果网络速度低，并且用户要迅速传送数据，不用任何损耗通过低速网络，但是不提供任何安全。

第 4 步：如果总是想要VPN通道的连接保持活动，请检查keep-alive复选框。如果任何连接变得非激活，保活帮助立即重建连接。

 

第 5 步： 请检查AH散列算法复选框，如果要启用验证报头(AH)。AH提供验证给始发地数据、数据完整性通过校验和和保护到IP报头。通道应该有两个的同一种算法其侧。

• MD5 -消息摘要Algorithm-5 (MD5)代表128个提供防护给数据从恶意攻击由校验和计算的位十六进制散列函数。
• SHA1 -安全散列算法版本1 (SHA1)是比MD5是安全的更多的160位散列数据功能，但是它花些更多时间计算。

第六步：如果要通过VPN通道，允许不可路由的流量请检查NetBIOS广播。默认被不选定。NetBIOS用于通过一些软件应用检测网络资源类似打印机，计算机在网络的等和Windows功能类似网络邻居。 

第 7 步：如果希望对对互联网的访问从您的专用LAN通过公网IP地址，请检查NAT横越复选框。如果您的VPN路由器是在NAT网关后，请检查此复选框启用NAT横越。通道的两端必须有同样设置。

步骤 8检查对端死机检测间隔通过Hello检查VPN通道或ACK的充满活力以定期方式。如果检查此复选框，请输入hello消息的希望的持续时间或间隔。

注意：您能配置对端死机检测仅间隔单个客户端的到网关VPN连接，不组客户机的对网关VPN连接。

步骤9.点击“Save”保存设置。

您当前了解如何配置远程访问VPN通道从客户端到在RV016、RV042、RV042G和RV082 VPN路由器的网关。