sonicwall 野蛮模式vpnWord文档格式.docx
《sonicwall 野蛮模式vpnWord文档格式.docx》由会员分享,可在线阅读,更多相关《sonicwall 野蛮模式vpnWord文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
一、NSA3500配置,我们假设NSA3500有固定公网IP地址,NSA240没有固定公网IP
1.点击配置界面中的VPN菜单,选Setting,出现如下的界面
注意EnableVPN处于选择状态
2.系统本身已经存在两个VPN策略,分别是针对VPNclient用户和Wlan无线用户的,我们需要再新建一条静态的VPN策略所以点击Add(新建)按钮
3.出现下图的界面
我们现在配置的是AggressiveMode(野蛮模式的VPN),所以在IPsecPrimaryGatewayNameorAddress栏中输入对端的IP地址为0.0.0.0(因为不知道对端确切的IP),
SharedSecret(共享密钥),是两台防火墙设备在进行IPsec的IKE协商时使用的密码,这个是在阶段一进行初始化时使用的(关于IPsec的具体过程,请参考相关文档)。
两台设备的共享密钥必须一致才能协商成功。
LocalIKEID和PeerIKEID(本地ID和对端ID),是在野蛮模式下双方进行配置IPSec身份验证的凭证,因为我们现在使用野蛮模式,使用本地的ID为shanghai,对方的ID为beijing,IKEID类型可以选择任意的类型,只要两端的设备的IDTYPE是匹配的就可以。
SonicWALLIdentifier对应的ISAKMP的IDType在本例最后解释。
4.接下来进入第二个标签页
这个页面主要是输入关于两端网络的地址信息,我们需要把作VPN的网段地址输进去,这个也是IPsecVPN参数的一部分,如果输入错误,IPsec隧道也无法建立起来,我们先输入本地网络地址,从下拉框中选新建地址对象(createnewaddressobject)(注:
也可以直接在Network->
AddressObjects中建立)
在接下来弹出的对话框中输入本地网段地址
点击OK完成本地地址的输入,然后进行对端地址输入
在输入对端地址的时候,要注意输入的区域选择(ZoneAssignment),因为是要做VPN,所以对端的区域(ZoneAssignment)要指定为VPN,另外因为我们做的是网段之间的VPN隧道,在地址中一般使用网络(network)来建立。
5.完成后如下图所示
6.接下来设置第三个页面
第三个页面中包含了进行IPsec协商时使用的加密方法、校验方法、SA存活时间等一系列的参数,这些参数都是建立IPsecVPN所必须的,因为篇幅问题,本文不对这些参数进行详细说明,但需要注意的是,两边设备间所设置的这些参数,必须一一对应,要完全一致,不然建立VPN时会出现Proposal不匹配的错误。
7.第四个页面基本保持不变。
在特别的情况下,需要进行一些参数选项设置,如VPN终结端口
点击OK完成VPN设置。
二.远端NSA240配置:
1.VPN->
Setting进入配置界面(参考一
(1))
2.点击新建(Add)进入配置界面
在新版本中,添加了PolicyType选项,选择SitetoSite。
和NSA3500不同,网关IPsecPrimaryGatewayNameorAddress处要输入总部的公网IP地址。
共享密码(SharedSecret)和总部的密码是一致的,这里用sonicwall作密码。
接下来到Network页面
因为远程网络比较简单,只有一个网段地址,所以可以使用本地的预定义对象LANprimarySubnet作为本地对象(也可以自己定义一个本地的网络对象地址是172.16.2.0来作为这个选项的选择)。
远程地址选择新建地址对象(createnewaddressobject)
在地址栏中输入总部网络的地址段,注意区域选择是VPN,然后选择OK。
完成后如下图:
点击第三个标签页Proposal,保持各项参数和对端的一致。
点击第四个标签页,基本不做修改
点击OK,完成VPN设置。
注意:
ISAKMP协商标准定义了11中IKEID的类型。
SonicWALL的设备中使用其中的三种。
IPAddress:
对应标准定义的ID_IPV4_ADDR,IDTYPE=1
DomainName:
对应到标准定义的ID_FQDN,IDTYPE=2
EmailAddress:
对应到ID_USER_FQDN,IDType=3.
SonicWALLIdentifier对应到ID_USER_FQDN,IDType=3.
Emailaddress和SonicWALLIdentifierIDType=3,就是方便用户自己设置字符串。
野蛮模式ID是没有加密的,抓包可以看到IKEID的类型和字符串。
下面抓包显示SonicWALLIdentifier对应的IDType=3,对应到ID_USER_FQDN。
主模式的IDTYPE抓包看不到,因为主模式ID是加密的。
必须和对方设备管理员确认好ID类型。
和第三方的VPN设备互通问题:
有时你和对方VPN设备里的IKEID设置的字符串完全相同,但是VPN隧道就是不能建立,并说是IKEID不匹配。
其实问题就出在IKEID本身还有类型。
你必须知道对端设备的IKEID的类型,并把两个不同厂家的VPN设备的野蛮模式的IKEID类型设置成一样的,才可以建立VPN隧道。
野蛮模式,IKEIDSonicWALL使用了标准定义的前三种ID类型。
大部分厂家都支持这三种ID类型,所以只要两端的设备设置一样的ID类型,字符串设置成一样的,互通基本没有问题。
唯一的例外是和JuniperVPN的野蛮模式,Juniper要求IKEID的TYPE3必须有邮件符号@,写成邮件的形式,如vincent@,否则不能通。
即使你设置的两端的IKEID相同。
本人认为是一个人为设置的技术壁垒。
不代表厂商的观点。