StoneOS VPN与非Windows系统互联配置手册.docx

StoneOS VPN与非Windows系统互联配置手册.docx

《StoneOS VPN与非Windows系统互联配置手册.docx》由会员分享，可在线阅读，更多相关《StoneOS VPN与非Windows系统互联配置手册.docx（16页珍藏版）》请在冰豆网上搜索。

StoneOSVPN与非Windows系统互联配置手册

StoneOSVPN与非Windows系统互联配置手册

Hillstone山石网科

更新记录

作者

版本

更新内容

更新日期

高杰

V1.0

初始

2010-11-26

高杰

V1.1

根据意见反馈增加拓扑IP地址描述。

2010-11-28

StoneOSVPN与非Windows系统的配置手册

1.Introduction

本文档用于记录StoneOS与移动设备（非Windows）的VPN支持的情况，从目前的业界发展来看，随着IPAD等移动设备的越来越普及，针对目前常用的移动操作系统和主流的非Windows系统我们做了摸底测试，列表中列出了我们支持那些移动设备和操作系统，以及对应的版本和配置，方便前端使用。

我们的设备支持IPSEC/SCVPN/L2TP三种VPN，SCVPN是不支持非Windows操作系统的，本次摸底，测试了L2TP和L2TPOVERIPSEC的支持情况。

2.Limitations

防火墙版本支持信息：

支持

4.0R5（release预计2010.11.29发布）

4.5R2（release预计2011.2.30发布）

不支持

4.0R4及其P版本

4.5R1

3.支持列表

终端

WIFI

GPRS/3G

备注

L2tp

L2tpoveripsec

L2TP

L2tpoveripsec

Iphone/Ipad（版本：

3.0）

户端不支持

支持

未测试

未测试

Ios不支持单独的l2tp隧道；ios提供的VPN（kerberos）我们防火墙不支持

Android（版本：

2.2.1和2.1.1）

支持

支持

未测试

支持

MACos（版本：

10.5.6Leopard）

客户端不支持

支持

未测试

未测试

MACos不支持单独的l2tp隧道

Centos4.1（内核：

Linuxbogon2.6.9-89.31.1.EL）

支持IPsec

未测试

未测试

暂不考虑linux中其他协议的开源软件

4.测试组网拓扑

5.

防火墙和终端配置

1

2

3

4

5

5.1防火墙l2tpoveripsec+AD配置（针对于iOS，Andriod和Macos）

aaa-server"ADTest"typeactive-directory（如果不使用AD类型的AAA服务器，这一步可不写）

host192.168.1.2

base-dn"ou=user,dc=hillstone,dc=net"

login-dn"cn=test,ou=user,dc=hillstone,dc=net"

login-passwordBImY0wG8JsNDj4QoVIyv1WuLRWcr

exit

aaa-server"local"typelocal

user"test"

exit

isakmppeer"IPsecVPN2mobile"

typeusergroup

isakmp-proposal"psk-sha-3des-g2"

pre-share"U8FdHNEEBz6sNn5Mvqx3yWuLRWce"

aaa-server"local"

accept-all-peer-id/*注释1*/

interfaceethernet0/0

nat-traversal

exit

tunnelipsec"IPsecVPN2mobile"auto

modetransport

isakmp-peer"VPN2mobile"

ipsec-proposal"esp-sha-3des-g0"

accept-all-proxy-id/*注释1*/

l2tppool"l2tppool"

address20.1.1.220.1.1.254

exit

tunnell2tp"l2tptest"

pool"l2tppool"

dns202.106.0.20

interfaceethernet0/0

ppp-authpap/*注释2*/

next-tunnelipsec"IPsecVPN2mobile"/*注释3*/

aaa-server"ADTest"　　　　　　（此处是l2tp拨号的AAA服务器）/*注释4*/

interfacetunnel1

zone"trust"

ipaddress20.1.1.1255.255.255.0

tunnell2tp"l2tptest"

注释：

1.在isakmppeer里必须配置accept-all-peer-id，由于在使用usergroup时，客户端（mobile）无法配置id，所以此条命令的意思就是接受任何客户端发过来的ID，即不验证客户端的ID。

第二阶段IPsec代理ID也使用accept-all-proxy-id;

2.如果要使用adorldap认证的话，必须在tunnell2tp里配置ppp-authpap，由于现在adorldap只支持pap认证，所以如果配置成ppp-authany的话，防火墙会优先选择chap进行认证，导致无法跟adorldap认证。

3.如果只使用l2tp建立隧道的话，把tunnell2tp下的next-tunnel删掉,也不需要IPSecVPN

4.如果使用local认证，那就把tunnell2tp下的aaa-serverADTest改成aaa-serverlocal

5.2终端配置（iOS，Andriod和Macos）

5.2.1IPhone/IPad配置

Step1step2step3

在协议类型上选择“L2TP”，在“描述”栏中填入“5ufl2tp（该项为必填项，可随便填），在服务器栏中填入“X.X.X.X”（该项为必填项，服务器是FW地址），在账户和密码栏中填入正确的用户名和密码（该项为必填项），在secret里填入ipsec预共享密钥（该项为必填项）,其他设置保持不变，然后点击“存储”。

Step4step5

Step6step7

新的IPhone4中的IOS4的从第6步不一样，只需要选择添加l2tp，然后填写服务器IP，帐号，RSAsecureID关闭，圆圏选到后面，然后填写密码和密钥，密码是帐号的密码，密钥是IPSecVPN的共享密钥。

5.2.2Andriod配置

如果测试l2tp就选择第二项，如果测试l2tpoveripsec就选择第三项

1.vpnname随便填写

2.setvpnserver填写FW接口IP地址

3.setipsecpre-sharedkey填写isakmp的preshare-key

4.enablel2tpsecret不要勾选

5．保存

Step1step2

连接时提示输入用户名和密码，输入正确的用户名和密码即可

Step3

5.2.3

Macos配置

Step1首先进入systempreferences，选择network

Step2点击左下角的“+”，添加一个网络连接

Step3interface选择VPN

Step4VPNtype选择l2tpoveripsec

Step5点击configuration，选择addconfiguration

Step6点击authenticationsettings，在password里填入l2tp的用户密码，在sharedsecret里填入preshare-key，填写完后点击OK

Step7在serveraddress上填入FW接口地址，在accountname里填入l2tp用户名，填写完后点击apply

Step8填写完成后点击connect

5.3防火墙IPsec配置（针对于Centos4.1）

isakmppeer"VPN2linux"

typeusergroup

isakmp-proposal"psk-sha-3des-g2"

pre-share"U8FdHNEEBz6sNn5Mvqx3yWuLRWce"

aaa-server"local"

accept-all-peer-id

interfaceethernet0/0

modemain

exit

tunnelipsec"VPN2linux"auto

modetransport

isakmp-peer"VPN2linux"

ipsec-proposal"esp-sha-3des-g2"

accept-all-proxy-id

注意：

1.在isakmppeer里如果使用usergroup模式，那么必须使用main模式和配置accept-all-peer-id（跟建永确认过，现在的accept-all-peer-id不支持aggressive模式）。

2.对1的补充：

在Linux下的ipsec-tools0.7版本是支持带FQDN的，但是本人没有确认过。

我测试的时候都是在Centos4.1上默认的ipsec-tools（0.3版本）测试的，但是没有确认0.3版本是否支持FQDN，所以建议在测试的时候最好使用main模式。

5.4Centos4.1配置

Step1打开网络配置工具

Step2选择IPsec选项卡，点击new，点击Forward

Step3填入nickname（记住后面有用）

Step4选择hosttohostencryption

Step5选择automaticencryptionmodeselectionviaIKA（racoon）

Step6在remoteipaddress里填入防火墙接口的IP地址

Step7在authenticationkey里填入pre-sharekey

修改配置文件：

------------------------------------racoon.con文件修改-------------------------------------------------

[root@bogon~]#cat/etc/racoon/racoon.conf

#RacoonIKEdaemonconfigurationfile.

#See'manracoon.conf'foradescriptionoftheformatandentries.

pathinclude"/etc/racoon";

pathpre_shared_key"/etc/racoon/psk.txt";

pathcertificate"/etc/racoon/certs";

sainfoanonymous

{

pfs_group2;

lifetimetime1hour;

encryption_algorithm3des;

authentication_algorithmhmac_sha1;

compression_algorithmdeflate;

}

include"/etc/racoon/192.168.2.95.conf";

------------------------------------192.168.2.95.conf文件修改-------------------------------------------------

[root@bogon~]#cat/etc/racoon/192.168.2.95.conf

remote192.168.2.95

{

exchange_modemain,aggressive;（此文件默认是aggressive,main，也就是说优先使用野蛮模式认证，建议把main放在前面）

my_identifieraddress;

proposal{

encryption_algorithm3des;

hash_algorithmsha1;

authentication_methodpre_shared_key;

dh_group2;

}

}

------------------------------------setkey.cof文件修改（需要先创建）----------------------------------------------

[root@bogon~]#cat/etc/setkey.conf

flush;

spdflush;

spdadd192.168.2.96/32192.168.2.95/32any-Poutipsecesp/transport//use;

spdadd192.168.2.95/32192.168.2.96/32any-Pinipsecesp/transport//use;

flush和spdflush命令的意思是清楚sa和spi；

192.168.2.96是centos机器IP，192.168.2.95是FW接口IP；

spdadd192.168.2.96/32192.168.2.95/32any-Poutipsecesp/transport//use；

这句话的意思是从2.96到2.95的任何数据包用ipsecesp协议的透明模式进行加密和协商；

配置完成后运行命令setkey–f/etc/setkey.conf；

然后再centos上ping192.168.2.95，建立隧道。

6.

特殊案例

防火墙在DNAT的情况下与移动终端的VPN连接

测试拓扑：

移动终端通过GPRS或3G跟FW-B建立隧道，此时需要在FW-A上对4500和500做DNAT，并且在FW-B上开启nat-traversal.

由于l2tpoveripsec在ipsec阶段协商完成后用的是ESP加密报文传输，但是我们现在DNAT不支持对esp（协议号50）做DNAT，所以导致后续的ESP报文没法到达FW-B。

开启nat-travel后即可以解决此问题