StoneOS VPN与非Windows系统互联配置手册Word格式文档下载.docx
《StoneOS VPN与非Windows系统互联配置手册Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《StoneOS VPN与非Windows系统互联配置手册Word格式文档下载.docx(16页珍藏版)》请在冰豆网上搜索。
4.0R5(release预计2010.11.29发布)
4.5R2(release预计2011.2.30发布)
不支持
4.0R4及其P版本
4.5R1
3.支持列表
终端
WIFI
GPRS/3G
备注
L2tp
L2tpoveripsec
L2TP
Iphone/Ipad(版本:
3.0)
户端不支持
未测试
Ios不支持单独的l2tp隧道;
ios提供的VPN(kerberos)我们防火墙不支持
Android(版本:
2.2.1和2.1.1)
MACos(版本:
10.5.6Leopard)
客户端不支持
MACos不支持单独的l2tp隧道
Centos4.1(内核:
Linuxbogon2.6.9-89.31.1.EL)
支持IPsec
暂不考虑linux中其他协议的开源软件
4.测试组网拓扑
5.
防火墙和终端配置
1
2
3
4
5
5.1防火墙l2tpoveripsec+AD配置(针对于iOS,Andriod和Macos)
aaa-server"
ADTest"
typeactive-directory(如果不使用AD类型的AAA服务器,这一步可不写)
host192.168.1.2
base-dn"
ou=user,dc=hillstone,dc=net"
login-dn"
cn=test,ou=user,dc=hillstone,dc=net"
login-passwordBImY0wG8JsNDj4QoVIyv1WuLRWcr
exit
local"
typelocal
user"
test"
exit
isakmppeer"
IPsecVPN2mobile"
typeusergroup
isakmp-proposal"
psk-sha-3des-g2"
pre-share"
U8FdHNEEBz6sNn5Mvqx3yWuLRWce"
aaa-server"
accept-all-peer-id/*注释1*/
interfaceethernet0/0
nat-traversal
tunnelipsec"
auto
modetransport
isakmp-peer"
VPN2mobile"
ipsec-proposal"
esp-sha-3des-g0"
accept-all-proxy-id/*注释1*/
l2tppool"
l2tppool"
address20.1.1.220.1.1.254
tunnell2tp"
l2tptest"
pool"
l2tppool"
dns202.106.0.20
ppp-authpap/*注释2*/
next-tunnelipsec"
IPsecVPN2mobile"
/*注释3*/
ADTest"
(此处是l2tp拨号的AAA服务器)/*注释4*/
interfacetunnel1
zone"
trust"
ipaddress20.1.1.1255.255.255.0
tunnell2tp"
注释:
1.在isakmppeer里必须配置accept-all-peer-id,由于在使用usergroup时,客户端(mobile)无法配置id,所以此条命令的意思就是接受任何客户端发过来的ID,即不验证客户端的ID。
第二阶段IPsec代理ID也使用accept-all-proxy-id;
2.如果要使用adorldap认证的话,必须在tunnell2tp里配置ppp-authpap,由于现在adorldap只支持pap认证,所以如果配置成ppp-authany的话,防火墙会优先选择chap进行认证,导致无法跟adorldap认证。
3.如果只使用l2tp建立隧道的话,把tunnell2tp下的next-tunnel删掉,也不需要IPSecVPN
4.如果使用local认证,那就把tunnell2tp下的aaa-serverADTest改成aaa-serverlocal
5.2终端配置(iOS,Andriod和Macos)
5.2.1IPhone/IPad配置
Step1step2step3
在协议类型上选择“L2TP”,在“描述”栏中填入“5ufl2tp(该项为必填项,可随便填),在服务器栏中填入“X.X.X.X”(该项为必填项,服务器是FW地址),在账户和密码栏中填入正确的用户名和密码(该项为必填项),在secret里填入ipsec预共享密钥(该项为必填项),其他设置保持不变,然后点击“存储”。
Step4step5
Step6step7
新的IPhone4中的IOS4的从第6步不一样,只需要选择添加l2tp,然后填写服务器IP,帐号,RSAsecureID关闭,圆圏选到后面,然后填写密码和密钥,密码是帐号的密码,密钥是IPSecVPN的共享密钥。
5.2.2Andriod配置
如果测试l2tp就选择第二项,如果测试l2tpoveripsec就选择第三项
1.vpnname随便填写
2.setvpnserver填写FW接口IP地址
3.setipsecpre-sharedkey填写isakmp的preshare-key
4.enablel2tpsecret不要勾选
5.保存
Step1step2
连接时提示输入用户名和密码,输入正确的用户名和密码即可
Step3
5.2.3
Macos配置
Step1首先进入systempreferences,选择network
Step2点击左下角的“+”,添加一个网络连接
Step3interface选择VPN
Step4VPNtype选择l2tpoveripsec
Step5点击configuration,选择addconfiguration
Step6点击authenticationsettings,在password里填入l2tp的用户密码,在sharedsecret里填入preshare-key,填写完后点击OK
Step7在serveraddress上填入FW接口地址,在accountname里填入l2tp用户名,填写完后点击apply
Step8填写完成后点击connect
5.3防火墙IPsec配置(针对于Centos4.1)
VPN2linux"
accept-all-peer-id
modemain
esp-sha-3des-g2"
accept-all-proxy-id
注意:
1.在isakmppeer里如果使用usergroup模式,那么必须使用main模式和配置accept-all-peer-id(跟建永确认过,现在的accept-all-peer-id不支持aggressive模式)。
2.对1的补充:
在Linux下的ipsec-tools0.7版本是支持带FQDN的,但是本人没有确认过。
我测试的时候都是在Centos4.1上默认的ipsec-tools(0.3版本)测试的,但是没有确认0.3版本是否支持FQDN,所以建议在测试的时候最好使用main模式。
5.4Centos4.1配置
Step1打开网络配置工具
Step2选择IPsec选项卡,点击new,点击Forward
Step3填入nickname(记住后面有用)
Step4选择hosttohostencryption
Step5选择automaticencryptionmodeselectionviaIKA(racoon)
Step6在remoteipaddress里填入防火墙接口的IP地址
Step7在authenticationkey里填入pre-sharekey
修改配置文件:
------------------------------------racoon.con文件修改-------------------------------------------------
[root@bogon~]#cat/etc/racoon/racoon.conf
#RacoonIKEdaemonconfigurationfile.
#See'
manracoon.conf'
foradescriptionoftheformatandentries.
pathinclude"
/etc/racoon"
;
pathpre_shared_key"
/etc/racoon/psk.txt"
pathcertificate"
/etc/racoon/certs"
sainfoanonymous
{
pfs_group2;
lifetimetime1hour;
encryption_algorithm3des;
authentication_algorithmhmac_sha1;
compression_algorithmdeflate;
}
include"
/etc/racoon/192.168.2.95.conf"
;
------------------------------------192.168.2.95.conf文件修改-------------------------------------------------
[root@bogon~]#cat/etc/racoon/192.168.2.95.conf
remote192.168.2.95
exchange_modemain,aggressive;
(此文件默认是aggressive,main,也就是说优先使用野蛮模式认证,建议把main放在前面)
my_identifieraddress;
proposal{
encryption_algorithm3des;
hash_algorithmsha1;
authentication_methodpre_shared_key;
dh_group2;
}
------------------------------------setkey.cof文件修改(需要先创建)----------------------------------------------
[root@bogon~]#cat/etc/setkey.conf
flush;
spdflush;
spdadd192.168.2.96/32192.168.2.95/32any-Poutipsecesp/transport//use;
spdadd192.168.2.95/32192.168.2.96/32any-Pinipsecesp/transport//use;
flush和spdflush命令的意思是清楚sa和spi;
192.168.2.96是centos机器IP,192.168.2.95是FW接口IP;
spdadd192.168.2.96/32192.168.2.95/32any-Poutipsecesp/transport//use;
这句话的意思是从2.96到2.95的任何数据包用ipsecesp协议的透明模式进行加密和协商;
配置完成后运行命令setkey–f/etc/setkey.conf;
然后再centos上ping192.168.2.95,建立隧道。
6.
特殊案例
防火墙在DNAT的情况下与移动终端的VPN连接
测试拓扑:
移动终端通过GPRS或3G跟FW-B建立隧道,此时需要在FW-A上对4500和500做DNAT,并且在FW-B上开启nat-traversal.
由于l2tpoveripsec在ipsec阶段协商完成后用的是ESP加密报文传输,但是我们现在DNAT不支持对esp(协议号50)做DNAT,所以导致后续的ESP报文没法到达FW-B。
开启nat-travel后即可以解决此问题