StoneOS VPN与非Windows系统互联配置手册.docx

1、StoneOS VPN与非Windows系统互联配置手册StoneOS VPN与非Windows系统互联配置手册Hillstone山石网科更新记录作者版本更新内容更新日期高杰V1.0初始2010-11-26高杰V1.1根据意见反馈增加拓扑IP地址描述。2010-11-28StoneOS VPN与非Windows系统的配置手册1.Introduction本文档用于记录StoneOS与移动设备（非Windows）的VPN支持的情况，从目前的业界发展来看，随着IPAD等移动设备的越来越普及，针对目前常用的移动操作系统和主流的非Windows系统我们做了摸底测试，列表中列出了我们支持那些移动设备和操作

2、系统，以及对应的版本和配置，方便前端使用。我们的设备支持IPSEC/SCVPN/L2TP三种VPN，SCVPN是不支持非Windows操作系统的，本次摸底，测试了L2TP和L2TP OVER IPSEC的支持情况。2.Limitations防火墙版本支持信息：支持4.0R5（release预计2010.11.29发布）4.5R2（release预计2011.2.30发布）不支持4.0R4及其P版本4.5R13.支持列表终端WIFIGPRS/3G备注L2tpL2tp over ipsecL2TPL2tp over ipsecIphone/Ipad(版本：3.0)户端不支持支持未测试未测试Ios不

3、支持单独的l2tp隧道；ios提供的VPN（kerberos）我们防火墙不支持Android（版本：2.2.1和2.1.1）支持支持未测试支持MAC os（版本：10.5.6 Leopard）客户端不支持支持未测试未测试MAC os不支持单独的l2tp隧道Centos 4.1（内核：Linux bogon 2.6.9-89.31.1.EL）支持IPsec未测试未测试暂不考虑linux中其他协议的开源软件4.测试组网拓扑5.防火墙和终端配置123455.1防火墙 l2tp over ipsec + AD配置（针对于iOS，Andriod和Mac os）aaa-server ADTest type

4、 active-directory （如果不使用AD类型的AAA服务器，这一步可不写） host 192.168.1.2 base-dn ou=user, dc=hillstone, dc=net login-dn cn=test, ou=user, dc=hillstone, dc=net login-password BImY0wG8JsNDj4QoVIyv1WuLRWcrexitaaa-server local type local user test exitisakmp peer IPsecVPN2mobile type usergroup isakmp-proposal psk-s

5、ha-3des-g2 pre-share U8FdHNEEBz6sNn5Mvqx3yWuLRWce aaa-server local accept-all-peer-id /*注释1*/ interface ethernet0/0 nat-traversalexittunnel ipsec IPsecVPN2mobile auto mode transport isakmp-peer VPN2mobile ipsec-proposal esp-sha-3des-g0 accept-all-proxy-id /*注释1*/l2tp pool l2tppool address 20.1.1.2 2

6、0.1.1.254exittunnel l2tp l2tptest pool l2tppool dns 202.106.0.20 interface ethernet0/0 ppp-auth pap /*注释2*/ next-tunnel ipsec IPsecVPN2mobile /*注释3*/ aaa-server ADTest （此处是l2tp拨号的AAA服务器）/*注释4*/interface tunnel1 zone trust ip address 20.1.1.1 255.255.255.0 tunnel l2tp l2tptest注释：1.在isakmp peer里必须配置ac

7、cept-all-peer-id，由于在使用usergroup时，客户端（mobile）无法配置id，所以此条命令的意思就是接受任何客户端发过来的ID，即不验证客户端的ID。第二阶段IPsec 代理ID也使用accept-all-proxy-id;2.如果要使用ad or ldap认证的话，必须在tunnel l2tp里配置ppp-auth pap，由于现在ad or ldap只支持pap认证，所以如果配置成ppp-auth any的话，防火墙会优先选择chap进行认证，导致无法跟ad or ldap认证。3.如果只使用l2tp建立隧道的话，把tunnel l2tp下的next-tunnel删

8、掉,也不需要IPSecVPN4.如果使用local认证，那就把tunnel l2tp下的aaa-server ADTest 改成aaa-server local5.2终端配置（iOS，Andriod和Mac os）5.2.1IPhone/IPad配置 Step 1 step 2 step 3在协议类型上选择“L2TP”，在“描述”栏中填入“5ufl2tp（该项为必填项，可随便填），在服务器栏中填入“X.X.X.X”（ 该项为必填项，服务器是FW地址），在账户和密码栏中填入正确的用户名和密码（该项为必填项），在secret里填入ipsec预共享密钥（该项为必填项）,其他设置保持不变，然后点击“存

9、储”。 Step 4 step 5 Step 6 step 7新的IPhone4中的IOS4的从第6步不一样，只需要选择添加l2tp，然后填写服务器IP，帐号，RSAsecureID关闭，圆圏选到后面，然后填写密码和密钥，密码是帐号的密码，密钥是IPSecVPN的共享密钥。5.2.2Andriod配置如果测试l2tp就选择第二项，如果测试l2tp over ipsec就选择第三项1.vpn name随便填写2.set vpn server填写FW接口IP地址3.set ipsec pre-shared key填写isakmp的preshare-key4.enable l2tp secret不要

10、勾选5保存 Step 1 step 2连接时提示输入用户名和密码，输入正确的用户名和密码即可 Step 35.2.3Mac os配置Step 1 首先进入system preferences，选择networkStep 2 点击左下角的“ + ”，添加一个网络连接Step 3 interface选择VPNStep 4 VPN type选择l2tp over ipsecStep 5 点击configuration，选择add configurationStep 6 点击authentication settings，在password里填入l2tp的用户密码，在shared secret里填入p

11、reshare-key，填写完后点击OKStep 7 在server address上填入FW接口地址，在account name里填入l2tp用户名，填写完后点击applyStep 8 填写完成后点击connect5.3防火墙 IPsec配置（针对于Centos 4.1）isakmp peer VPN2linux type usergroup isakmp-proposal psk-sha-3des-g2 pre-share U8FdHNEEBz6sNn5Mvqx3yWuLRWce aaa-server local accept-all-peer-id interface ethernet0

12、/0 mode mainexittunnel ipsec VPN2linux auto mode transport isakmp-peer VPN2linux ipsec-proposal esp-sha-3des-g2 accept-all-proxy-id注意：1.在isakmp peer里如果使用usergroup模式，那么必须使用main模式和配置accept-all-peer-id（跟建永确认过，现在的accept-all-peer-id不支持aggressive模式）。2.对1的补充：在Linux下的ipsec-tools 0.7版本是支持带FQDN的，但是本人没有确认过。我测试

13、的时候都是在Centos 4.1上默认的ipsec-tools (0.3版本)测试的，但是没有确认0.3版本是否支持FQDN，所以建议在测试的时候最好使用main模式。5.4Centos 4.1配置Step 1 打开网络配置工具Step 2 选择IPsec选项卡，点击new，点击ForwardStep 3 填入nickname（记住后面有用）Step 4 选择host to host encryptionStep 5 选择automatic encryption mode selection via IKA (racoon)Step 6 在remote ip address里填入防火墙接口的I

14、P地址Step 7 在authentication key里填入pre-share key修改配置文件：-racoon.con文件修改-rootbogon # cat /etc/racoon/racoon.conf# Racoon IKE daemon configuration file.# See man racoon.conf for a description of the format and entries.path include /etc/racoon ;path pre_shared_key /etc/racoon/psk.txt ;path certificate /etc

15、/racoon/certs ;sainfo anonymous pfs_group 2; lifetime time 1 hour ; encryption_algorithm 3des ; authentication_algorithm hmac_sha1 ; compression_algorithm deflate ;include /etc/racoon/192.168.2.95.conf;-192.168.2.95.conf文件修改-rootbogon # cat /etc/racoon/192.168.2.95.confremote 192.168.2.95 exchange_m

16、ode main,aggressive;（此文件默认是aggressive ,main，也就是说优先使用野蛮模式认证，建议把main放在前面） my_identifier address; proposal encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2 ; -setkey.cof文件修改（需要先创建）-rootbogon # cat /etc/setkey.confflush;spdflush;spdadd 192.168.2.96/32 192.

17、168.2.95/32 any -P out ipsec esp/transport/use;spdadd 192.168.2.95/32 192.168.2.96/32 any -P in ipsec esp/transport/use;flush和spdflush命令的意思是清楚sa和spi；192.168.2.96是centos机器IP，192.168.2.95是FW接口IP；spdadd 192.168.2.96/32 192.168.2.95/32 any -P out ipsec esp/transport/use；这句话的意思是从2.96到2.95的任何数据包用ipsec esp

18、协议的透明模式进行加密和协商；配置完成后运行命令setkey f /etc/setkey.conf；然后再centos上ping 192.168.2.95，建立隧道。6.特殊案例防火墙在DNAT的情况下与移动终端的VPN连接测试拓扑：移动终端通过GPRS或3G跟FW-B建立隧道，此时需要在FW-A上对4500和500做DNAT，并且在FW-B上开启nat-traversal.由于l2tp over ipsec在ipsec阶段协商完成后用的是ESP加密报文传输，但是我们现在DNAT不支持对esp（协议号50）做DNAT，所以导致后续的ESP报文没法到达FW-B。开启nat-travel后即可以解决此问题