网神防火墙与安卓手机进行L2TP互联.docx

1、网神防火墙与安卓手机进行L2TP互联Android VPN 对接案例目录1 测试环境 21.1 测试拓扑 21.2 测试设备： 21.3 预置条件： 22 L2TP over IPSec预共享密钥方式 32.1 配置思路 32.2 配置步骤 32.2.1 配置VPN网关IPSec 隧道策略 32.2.2 配置Android移动终端VPN连接 82.3 验证配置效果 163 L2TP over IPSec数字签名方式 183.1 配置思路 183.2 配置步骤 183.2.1 配置VPN网关IPSec 隧道策略 183.2.2 使用CMS为Android移动终端下发证书 233.2.3 导入CA

2、和证书至Android系统 263.2.4 配置Android移动终端VPN连接 303.3 验证配置效果 35第1章 测试环境注意：本手册案例采用移动终端下自带L2TP over IPSec 方式通过传输模式IPSec与VPN进行对接；因目前市面上Android系统版本过多，且由于各厂商对其进行各种的裁剪、定制，导致部分机型的Android系统存在内核不完整的情况，系统自带的L2TP 功能无效，从而暂无法使用此功能已知存在问题的机型有：机型系统Samsung i919Android2.3Moto xt882Android2.3Samsung GT-S5830Android2.2Samsung

3、 i9001Android2.3目前已通过测试的机型与手机系统有：机型系统HTC G7Android 2.2Samsung i909Android2.3Samsung i929Android2.3Moto xt800Android2.31.1 测试拓扑1.2 测试设备：VPN：型号：A1500移动终端：机型：HTC G7 版本：Android 2.21.3 预置条件：VPN：eth5:192.168.1.226/24 GW:192.168.1.37eth6:192.168.226.1保护子网服务器：IP:192.168.226.7 GW:192.168.226.1移动终端：无线wifi IP：

4、192.168.1.115/24第2章 L2TP over IPSec预共享密钥方式2.1 配置思路 配置VPN网关Ipsec 隧道策略 配置VPN网关L2TP策略、添加PPP用户 配置Android移动终端 l2tp over ipsec客户端，登录VPN网关，进行隧道通信测试2.2 配置步骤2.2.1 配置VPN网关IPSec 隧道策略注意：配置手机客户端接入设备对时，VPN网关认证方式应选择双选模式（同时勾选数字证书和预共享密钥），以兼容普通VPN客户端以及其他设备的接入。选择【IPSec VPN】【隧道配置】，添加设备配置 对端名称：Android（根据需要填写方便识别的名称） 本地接

5、口：选择VPN网关外口eth5 对端地址：配置【未知】（因VPN网关作为服务端，无须指定Android移动终端IP地址） 认证方式：选择【预共享密钥】，输入【test】 身份标识本地标识：选择【IP地址】方式，输入网关外口eth5的接口ip：192.168.1.226 身份标识对端标识：选择【IP地址】方式，输入0.0.0.0动态支持所有客户端IP接入因某些移动智能终端系统不支持标准DPD探测，为保障兼容性，此处需要关闭VPN设备的主动探测功能，如下图，取消【启用探测】的勾选选择【添加隧道】，配置子网信息、通信算法 隧道名称：test输入便识别的名称 本地子网：输入网关外口地址，本示例中为et

6、h5口ip地址192.168.1.226/32 对方子网：输入0.0.0.0/0，动态支持所有Android移动终端的接入【隧道通信算法】【ESP加密算法】，全选即可，可灵活支持所有客户端加密算法选择【L2TP VPN】【本地设备配置】，配置L2TP VPN服务端信息 本地虚IP：任意填写一个与尚未被使用的IP即可：123.123.123.226 本地标识：填写方便识别好记的名称即可226 认证用户：此处本案例中无须配置，放置默认即可注意：因Android移动终端不支持，此处不得勾选【作为服务端时，要求对方进行L2TP隧道认证】一项选择【L2TP VPN】【端用户设置】，配置L2TP VPN客

7、户端虚IP地址池信息 配置虚IP地址池为11.10.1.1至11.10.1.5地址段选择【用户认证】【PPP用户管理】为Android移动终端添加PPP登录用户，并点击【立即生效】2.2.2 配置Android移动终端VPN连接选择【设置】，进入设置菜单 选择【无线和网络】，进入后启用WLAN 并进入【WLAN设置】，按【菜单键】打开【高级】菜单点击进入查看WIFI状态（本示例中，使用静态IP设置，根据实际情况也可以使用DHCP方式获取WIFI IP地址） 注意：若使用3G网络则无需配置wifi直接进入下个步骤即可返回至【无线和网络】目录下，向下拖动屏幕，选择【VPN设置】进入【VPN设置】，

8、点击【添加VPN】选择【添加VPN“L2TP/IPSec PSK“】添加预共享密钥方式的VPN连接配置相关参数VPN名称：输入方便识别的名称226设置VPN服务器：输入VPN网关地址192.168.1.226启用L2TP密码：不勾选配置完成后，点击菜单键，选择【保存】即可点击【保存】后，系统会系统提示【设置凭证存储密码】，输入8个1即可注意：android系统VPN安全信息存储前需要【设置凭证存储密码】(包括后面设备证书信息)，此处为系统自动提示设置密码，也可以在配置VPN前，进入【设置】【安全】，预先设置【存储凭证密码】，如下图成功添加VPN连接后，如下图所示单击VPN连接名【226】，输入VPN用户名口令开始连接（此处用户名口令为VPN网关上所添加的PPP用户）点击【连接】，开始建立VPN隧道，成功建立后界面上会显示已连接信息2.3 验证配置效果1. 查看VPN网关上隧道协商状态2. 返回移动终端主页面，此时启用浏览器，使用移动终端访问VPN网关保护子网web服务器http:/192.168.226.73. 成功访问到VPN保护子网web服务器