XAuth认证拨号VPN配置技巧.docx
《XAuth认证拨号VPN配置技巧.docx》由会员分享,可在线阅读,更多相关《XAuth认证拨号VPN配置技巧.docx(12页珍藏版)》请在冰豆网上搜索。
XAuth认证拨号VPN配置技巧
XAuth认证拨号VPN
一.网络环境
先对以下的实验做些约定:
防火墙接口配置见下。
ethernet1172.31.60.31/24Trust(内网的地址段)
ethernet20.0.0.0/0DMZ
ethernet3218.91.254.11/28Untrust(固定的公网IP)
ethernet40.0.0.0/0Untrust
二.防火墙上的配置
1.添加地址池。
Objects>IPPools:
这些地址用于分配给拨入的VPN帐户,这个地址段不能和内网网段重叠。
如果此IP与内网重叠,客户机与内网进行通信时,内网发往客户机的包会在到达防火墙时被重新发回到内网中,不会到达客户机。
2.创建一个拨号VPN本地用户。
Objects>Users>Local>New:
输入以下内容,然后单击OK
UserName:
ch
Status:
Enable
IKEUser:
(选择)
SimpleIdentity:
(选择)
IKEIdentity:
ch@
XAuthUser:
(选择)
UserPassword:
123456
ConfirmPassword:
123456
IPPools:
ch_ip
PrimaryDNSIP:
172.31.60.16(没有可以不填)
3.设置VPN第一阶段
VPNs>AutoKeyAdvanced>Gateway>New:
输入以下内容,然后单击OK:
GatewayName:
ch_p1
SecurityLevel:
Compatible
RemoteGatewayType:
DialupUser:
(选择),User:
ch
预共享密钥
PresharedKey:
123456789
OutgoingInterface:
ethernet3
>Advanced:
输入以下高级设置,然后单击Return,返回基本配置页:
SecurityLevel:
Compatible
Mode(Initiator):
Aggressive
EnableXAuth:
(选择)
LocalAuthentication:
(选择)
User:
ch
4.配置VPN第二阶段
VPNs>AutoKeyIKE>New:
输入以下内容,然后单击OK:
VPNName:
ch_p2
SecurityLevel:
Compatible
RemoteGateway:
Predefined:
(选择)ch_p1
5.配置策略
Policies>New(trusttountrust)输入以下内容,然后单击OK:
SourceAddress:
Any
DestinationAddress:
Any
Action:
Permit
PositionatTop:
(选择)
Policies>New(untrusttotrust)输入以下内容,然后单击OK:
SourceAddress:
Dial-UpVPN
DestinationAddress:
172.31.60.0/24
Action:
Tunnel
Tennul:
VPNch_p2
PositionatTop:
(选择)
防火墙的设置完成,下面是客户端的设置步骤。
右键点击MyConnections,选择ADD>Connections,添加一个客户端(此实验用qqq作为名称)。
左边选定qqq,右方各个选项如下:
ConnectionSecurity:
使用默认值(Secure)
RemotePartyIdentityAndAddressing:
ID:
选择客户端访问的内网IP段,可以是单个IP地址
Subnet:
在ID选为IPSubnet时出现,填写内网地址段(172.31.60.0)
Mask:
内网地址段的掩码(255.255.255.0)
Protoco:
选择All
Connectusin:
(选择)
ID:
输入防火墙的公网地址(218.91.254.11)
左边选定SecurityPolicy:
右边设置模式为AggressiveMode,因为此模式才支持下一步中所要配置的E-mailAddress认证。
其他保持默认
左边选定MyIdentity:
右边MyIdentity:
Select选择None
ID选择E-mailAddress,输入在防火墙创建用户时配置的IKEIdentity:
ch@
其他保持默认
点击Pre-SharedKey,在对话框中点击EnterKey输入预共享密钥:
123456789
左边选择Authentication(Phase1)下的Proposal1
右边Authentication选择Pre-SharedKey:
ExtendedAuthentication
EncryptionandDataIntegrityAlgorithms中是加密算法,按图选择。
KeyGroup选择Diffia-HellmanGroup2
左边选择KeyExchange(Phase2)下的Proposal1
右边的EncapsulationProtocol中填写与上一步相同的加密算法
设置完毕,保存设置。
在命令提示符中ping内网中的计算机,这时会弹出下面的这个对话框,输入用户名ch,密码123456,点击OK。
当Romote软件右下角的图标变成时,表示VPN已连接,之后便可以使用各种软件访问内网的计算机。
VPN连接时防火墙的日志:
在日志中可以看见第一阶段和第二阶段完成,这表示VPN配置正确,连接正常。
如果策略配置错误,不会影响到VPN的建立,但是却不能与内网进行通信,碰到VPN连接建立却不能与内网进行通信的情况时,先检查IPPools是否设置正确,再检查策略是否正确。