网神防火墙与安卓手机进行L2TP互联.docx
《网神防火墙与安卓手机进行L2TP互联.docx》由会员分享,可在线阅读,更多相关《网神防火墙与安卓手机进行L2TP互联.docx(18页珍藏版)》请在冰豆网上搜索。
网神防火墙与安卓手机进行L2TP互联
AndroidVPN对接案例
目录
1测试环境2
1.1测试拓扑2
1.2测试设备:
2
1.3预置条件:
2
2L2TPoverIPSec预共享密钥方式3
2.1配置思路3
2.2配置步骤3
2.2.1配置VPN网关IPSec隧道策略3
2.2.2配置Android移动终端VPN连接8
2.3验证配置效果16
3L2TPoverIPSec数字签名方式18
3.1配置思路18
3.2配置步骤18
3.2.1配置VPN网关IPSec隧道策略18
3.2.2使用CMS为Android移动终端下发证书23
3.2.3导入CA和证书至Android系统26
3.2.4配置Android移动终端VPN连接30
3.3验证配置效果35
第1章测试环境
注意:
本手册案例采用移动终端下自带L2TPoverIPSec方式通过传输模式IPSec与VPN进行对接;
因目前市面上Android系统版本过多,且由于各厂商对其进行各种的裁剪、定制,导致部分机型的Android系统存在内核不完整的情况,系统自带的L2TP功能无效,从而暂无法使用此功能
已知存在问题的机型有:
机型
系统
Samsungi919
Android2.3
Motoxt882
Android2.3
SamsungGT-S5830
Android2.2
Samsungi9001
Android2.3
目前已通过测试的机型与手机系统有:
机型
系统
HTCG7
Android2.2
Samsungi909
Android2.3
Samsungi929
Android2.3
Motoxt800
Android2.3
1.1测试拓扑
1.2测试设备:
VPN:
型号:
A1500
移动终端:
机型:
HTCG7
版本:
Android2.2
1.3预置条件:
VPN:
eth5:
192.168.1..226/24GW:
192.168.1.37
eth6:
192.168.226.1
保护子网服务器:
IP:
192.168.226.7GW:
192.168.226.1
移动终端:
无线wifiIP:
192.168.1.115/24
第2章L2TPoverIPSec预共享密钥方式
2.1配置思路
●配置VPN网关Ipsec隧道策略
●配置VPN网关L2TP策略、添加PPP用户
●配置Android移动终端l2tpoveripsec客户端,登录VPN网关,进行隧道通信测试
2.2配置步骤
2.2.1配置VPN网关IPSec隧道策略
注意:
配置手机客户端接入设备对时,VPN网关认证方式应选择双选模式(同时勾选数字证书和预共享密钥),以兼容普通VPN客户端以及其他设备的接入。
选择【IPSecVPN】【隧道配置】,添加设备配置
●对端名称:
Android(根据需要填写方便识别的名称)
●本地接口:
选择VPN网关外口eth5
●对端地址:
配置【未知】(因VPN网关作为服务端,无须指定Android移动终端IP地址)
●认证方式:
选择【预共享密钥】,输入【test】
●身份标识本地标识:
选择【IP地址】方式,输入网关外口eth5的接口ip:
192.168.1.226
●身份标识对端标识:
选择【IP地址】方式,输入0.0.0.0动态支持所有客户端IP接入
因某些移动智能终端系统不支持标准DPD探测,为保障兼容性,此处需要关闭VPN设备的主动探测功能,如下图,取消【启用探测】的勾选
选择【添加隧道】,配置子网信息、通信算法
●隧道名称:
test输入便识别的名称
●本地子网:
输入网关外口地址,本示例中为eth5口ip地址192.168.1.226/32
●对方子网:
输入0.0.0.0/0,动态支持所有Android移动终端的接入
【隧道通信算法】【ESP加密算法】,全选即可,可灵活支持所有客户端加密算法
选择【L2TPVPN】【本地设备配置】,配置L2TPVPN服务端信息
●本地虚IP:
任意填写一个与尚未被使用的IP即可:
123.123.123.226
●本地标识:
填写方便识别好记的名称即可226
●认证用户:
此处本案例中无须配置,放置默认即可
注意:
因Android移动终端不支持,此处不得勾选【作为服务端时,要求对方进行L2TP隧道认证】一项
选择【L2TPVPN】【端用户设置】,配置L2TPVPN客户端虚IP地址池信息
●配置虚IP地址池为11.10.1.1至11.10.1.5地址段
选择【用户认证】【PPP用户管理】为Android移动终端添加PPP登录用户,并点击【立即生效】
2.2.2配置Android移动终端VPN连接
选择【设置】,进入设置菜单
选择【无线和网络】,进入后启用WLAN
并进入【WLAN设置】,按【菜单键】打开【高级】菜单点击进入查看WIFI状态(本示例中,使用静态IP设置,根据实际情况也可以使用DHCP方式获取WIFIIP地址)
注意:
若使用3G网络则无需配置wifi直接进入下个步骤即可
返回至【无线和网络】目录下,向下拖动屏幕,选择【VPN设置】
进入【VPN设置】,点击【添加VPN】
选择【添加VPN“L2TP/IPSecPSK“】添加预共享密钥方式的VPN连接
配置相关参数
VPN名称:
输入方便识别的名称226
设置VPN服务器:
输入VPN网关地址192.168.1.226
启用L2TP密码:
不勾选
配置完成后,点击菜单键,选择【保存】即可
点击【保存】后,系统会系统提示【设置凭证存储密码】,输入8个1即可
注意:
android系统VPN安全信息存储前需要【设置凭证存储密码】(包括后面设备证书信息),此处为系统自动提示设置密码,也可以在配置VPN前,进入【设置】【安全】,预先设置【存储凭证密码】,如下图
成功添加VPN连接后,如下图所示
单击VPN连接名【226】,输入VPN用户名\口令开始连接(此处用户名口令为VPN网关上所添加的PPP用户)
点击【连接】,开始建立VPN隧道,成功建立后界面上会显示已连接信息
2.3验证配置效果
1.查看VPN网关上隧道协商状态
2.返回移动终端主页面,此时启用浏览器,使用移动终端访问VPN网关保护子网web服务器http:
//192.168.226.7
3.成功访问到VPN保护子网web服务器
升级会员 