1、一、 NSA3500配置,我们假设NSA3500有固定公网IP地址,NSA240没有固定公网IP1 点击配置界面中的VPN菜单,选Setting,出现如下的界面注意Enable VPN处于选择状态2 系统本身已经存在两个VPN策略,分别是针对VPNclient用户和Wlan无线用户的,我们需要再新建一条静态的VPN策略所以点击Add(新建)按钮3 出现下图的界面 我们现在配置的是Aggressive Mode(野蛮模式的VPN),所以在IPsec Primary Gateway Name or Address栏中输入对端的IP地址为0.0.0.0(因为不知道对端确切的IP),Shared Se
2、cret(共享密钥),是两台防火墙设备在进行IPsec的IKE协商时使用的密码,这个是在阶段一进行初始化时使用的(关于IPsec的具体过程,请参考相关文档)。两台设备的共享密钥必须一致才能协商成功。Local IKE ID和Peer IKE ID(本地ID和对端ID),是在野蛮模式下双方进行配置IPSec身份验证的凭证,因为我们现在使用野蛮模式,使用本地的ID为shanghai,对方的ID为beijing,IKE ID类型可以选择任意的类型,只要两端的设备的ID TYPE是匹配的就可以。SonicWALL Identifier对应的ISAKMP的ID Type在本例最后解释。4 接下来进入第二
3、个标签页这个页面主要是输入关于两端网络的地址信息,我们需要把作VPN的网段地址输进去,这个也是IPsec VPN参数的一部分,如果输入错误,IPsec隧道也无法建立起来,我们先输入本地网络地址,从下拉框中选新建地址对象(create new address object)(注:也可以直接在Network-Address Objects中建立)在接下来弹出的对话框中输入本地网段地址点击OK完成本地地址的输入,然后进行对端地址输入在输入对端地址的时候,要注意输入的区域选择(Zone Assignment),因为是要做VPN,所以对端的区域(Zone Assignment)要指定为VPN,另外因为我
4、们做的是网段之间的VPN隧道,在地址中一般使用网络(network)来建立。5 完成后如下图所示6 接下来设置第三个页面第三个页面中包含了进行IPsec协商时使用的加密方法、校验方法、SA存活时间等一系列的参数,这些参数都是建立IPsec VPN所必须的,因为篇幅问题,本文不对这些参数进行详细说明,但需要注意的是,两边设备间所设置的这些参数,必须一一对应,要完全一致,不然建立VPN时会出现Proposal不匹配的错误。7 第四个页面基本保持不变。在特别的情况下,需要进行一些参数选项设置,如VPN终结端口点击OK完成VPN设置。二远端NSA240配置:1VPN-Setting进入配置界面(参考一
5、(1) 2.点击新建(Add)进入配置界面 在新版本中,添加了Policy Type选项,选择Site to Site。 和NSA3500不同,网关IPsec Primary Gateway Name or Address处要输入总部的公网IP地址。共享密码(Shared Secret)和总部的密码是一致的,这里用sonicwall作密码。接下来到Network页面因为远程网络比较简单,只有一个网段地址,所以可以使用本地的预定义对象LAN primary Subnet作为本地对象(也可以自己定义一个本地的网络对象地址是172.16.2.0来作为这个选项的选择)。远程地址选择新建地址对象(cre
6、ate new address object)在地址栏中输入总部网络的地址段,注意区域选择是VPN,然后选择OK。完成后如下图:点击第三个标签页Proposal,保持各项参数和对端的一致。点击第四个标签页,基本不做修改点击OK,完成VPN设置。注意: ISAKMP 协商标准定义了11中IKE ID 的类型。 SonicWALL的设备中使用其中的三种。IP Address: 对应标准定义的ID_IPV4_ADDR, ID TYPE=1Domain Name: 对应到标准定义的 ID_FQDN, ID TYPE=2Email Address: 对应到ID_USER_FQDN, ID Type=3.
7、SonicWALL Identifier对应到ID_USER_FQDN, ID Type=3.Email address 和SonicWALL Identifier ID Type=3,就是方便用户自己设置字符串。野蛮模式ID 是没有加密的,抓包可以看到IKE ID的类型和字符串。下面抓包显示SonicWALL Identifier对应的ID Type=3,对应到ID_USER_FQDN。主模式的ID TYPE抓包看不到,因为主模式ID 是加密的。必须和对方设备管理员确认好ID 类型。和第三方的VPN 设备互通问题:有时你和对方VPN设备里的IKE ID设置的字符串完全相同,但是VPN隧道就是
8、不能建立,并说是IKE ID不匹配。其实问题就出在IKE ID本身还有类型。你必须知道对端设备的IKE ID 的类型,并把两个不同厂家的VPN 设备的野蛮模式的IKE ID 类型设置成一样的,才可以建立VPN隧道。野蛮模式,IKE ID SonicWALL使用了标准定义的前三种ID 类型。大部分厂家都支持这三种ID类型,所以只要两端的设备设置一样的ID 类型,字符串设置成一样的,互通基本没有问题。唯一的例外是和Juniper VPN的野蛮模式,Juniper要求IKE ID 的TYPE 3 必须有邮件符号, 写成邮件的形式,如vincent, 否则不能通。即使你设置的两端的IKE ID 相同。本人认为是一个人为设置的技术壁垒。不代表厂商的观点。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1