XAuth认证拨号VPN配置技巧.docx

XAuth认证拨号VPN配置技巧.docx

《XAuth认证拨号VPN配置技巧.docx》由会员分享，可在线阅读，更多相关《XAuth认证拨号VPN配置技巧.docx（12页珍藏版）》请在冰豆网上搜索。

XAuth认证拨号VPN配置技巧

XAuth认证拨号VPN

一．网络环境

先对以下的实验做些约定：

防火墙接口配置见下。

ethernet1172.31.60.31/24Trust（内网的地址段）

ethernet20.0.0.0/0DMZ

ethernet3218.91.254.11/28Untrust（固定的公网IP）

ethernet40.0.0.0/0Untrust

二．防火墙上的配置

1．添加地址池。

Objects>IPPools：

这些地址用于分配给拨入的VPN帐户，这个地址段不能和内网网段重叠。

如果此IP与内网重叠，客户机与内网进行通信时，内网发往客户机的包会在到达防火墙时被重新发回到内网中，不会到达客户机。

2．创建一个拨号VPN本地用户。

Objects>Users>Local>New：

输入以下内容，然后单击OK

UserName：

ch

Status：

Enable

IKEUser：

（选择）

SimpleIdentity：

（选择）

IKEIdentity：

ch@

XAuthUser：

（选择）

UserPassword：

123456

ConfirmPassword：

123456

IPPools：

ch_ip

PrimaryDNSIP：

172.31.60.16（没有可以不填）

3．设置VPN第一阶段

VPNs>AutoKeyAdvanced>Gateway>New:

输入以下内容，然后单击OK:

GatewayName:

ch_p1

SecurityLevel:

Compatible

RemoteGatewayType:

DialupUser:

（选择）,User：

ch

预共享密钥

PresharedKey：

123456789

OutgoingInterface:

ethernet3

>Advanced:

输入以下高级设置，然后单击Return，返回基本配置页:

SecurityLevel:

Compatible

Mode（Initiator）:

Aggressive

EnableXAuth：

（选择）

LocalAuthentication：

（选择）

User：

ch

4．配置VPN第二阶段

VPNs>AutoKeyIKE>New:

输入以下内容，然后单击OK:

VPNName:

ch_p2

SecurityLevel:

Compatible

RemoteGateway:

Predefined:

（选择）ch_p1

5．配置策略

Policies>New（trusttountrust）输入以下内容，然后单击OK:

SourceAddress：

Any

DestinationAddress：

Any

Action：

Permit

PositionatTop:

（选择）

Policies>New（untrusttotrust）输入以下内容，然后单击OK:

SourceAddress：

Dial-UpVPN

DestinationAddress：

172.31.60.0/24

Action：

Tunnel

Tennul：

VPNch_p2

PositionatTop:

（选择）

防火墙的设置完成，下面是客户端的设置步骤。

右键点击MyConnections，选择ADD>Connections，添加一个客户端（此实验用qqq作为名称）。

左边选定qqq，右方各个选项如下：

ConnectionSecurity：

使用默认值（Secure）

RemotePartyIdentityAndAddressing：

ID：

选择客户端访问的内网IP段，可以是单个IP地址

Subnet：

在ID选为IPSubnet时出现，填写内网地址段（172.31.60.0）

Mask：

内网地址段的掩码（255.255.255.0）

Protoco：

选择All

Connectusin：

（选择）

ID：

输入防火墙的公网地址（218.91.254.11）

左边选定SecurityPolicy：

右边设置模式为AggressiveMode，因为此模式才支持下一步中所要配置的E-mailAddress认证。

其他保持默认

左边选定MyIdentity：

右边MyIdentity：

Select选择None

ID选择E-mailAddress，输入在防火墙创建用户时配置的IKEIdentity：

ch@

其他保持默认

点击Pre-SharedKey，在对话框中点击EnterKey输入预共享密钥：

123456789

左边选择Authentication（Phase1）下的Proposal1

右边Authentication选择Pre-SharedKey：

ExtendedAuthentication

EncryptionandDataIntegrityAlgorithms中是加密算法，按图选择。

KeyGroup选择Diffia-HellmanGroup2

左边选择KeyExchange（Phase2）下的Proposal1

右边的EncapsulationProtocol中填写与上一步相同的加密算法

设置完毕，保存设置。

在命令提示符中ping内网中的计算机，这时会弹出下面的这个对话框，输入用户名ch，密码123456，点击OK。

当Romote软件右下角的图标变成时，表示VPN已连接，之后便可以使用各种软件访问内网的计算机。

VPN连接时防火墙的日志：

在日志中可以看见第一阶段和第二阶段完成，这表示VPN配置正确，连接正常。

如果策略配置错误，不会影响到VPN的建立，但是却不能与内网进行通信，碰到VPN连接建立却不能与内网进行通信的情况时，先检查IPPools是否设置正确，再检查策略是否正确。