本文檔的目的是向您展示如何在RV32x系列VPN路由器上配置單個客戶端到網關虛擬專用網路(VPN)。
VPN是通過公共網路虛擬連線遠端使用者的專用網路。其中一種VPN是客戶端到網關VPN。客戶端到網關VPN是遠端使用者與網路之間的連線。使用者端是使用VPN使用者端軟體在使用者裝置上設定的。它允許使用者安全地遠端連線到網路。
步驟1.登入到Web配置實用程式並選擇VPN > Client to Gateway。將開啟Client to Gateway頁面:
步驟2.按一下Tunnel單選按鈕為客戶端新增一條隧道到網關VPN。
附註:通道編號 — 表示通道編號。此號碼將自動生成。
步驟1.在Tunnel Name欄位中輸入隧道的名稱。
步驟2.從Interface下拉選單中選擇遠端客戶端訪問VPN所使用的介面。
步驟3.從Keying Mode下拉選單中選擇適當的金鑰管理模式以確保安全。預設模式為IKE,使用預共用金鑰。
這些選項定義如下:
步驟4.選中Enable覈取方塊以啟用客戶端到網關VPN。預設情況下啟用。
步驟5.如果要儲存目前的設定,請向下滾動,然後按一下Save以儲存設定。
附註:如果您從新增新隧道一節的步驟3中的金鑰模式下拉選單中選擇Manual或IKE with Preshared key,請按照以下步驟操作。
步驟1.從Local Security Gateway下拉選單中選擇適當的路由器標識方法以建立VPN隧道。
這些選項定義如下:
步驟2.從Local Security Group Type下拉選單中選擇可以訪問VPN隧道的相應本地LAN使用者或使用者組。預設值為Subnet。
步驟3.如果要儲存到目前為止的設定,請向下滾動並按一下Save儲存設定。
附註:如果您從新增新隧道一節的步驟3中的金鑰模式下拉選單中選擇IKE with Certificate,請按照以下步驟操作。
步驟1.從Local Certificate下拉選單中選擇相應的本地證書以標識路由器。按一下Self-Generator以自動生成證書,或按一下Import Certificate以匯入新證書。
注意:要詳細瞭解如何自動生成證書,請參閱在RV320路由器上生成證書,要瞭解如何匯入證書,請參閱在RV320路由器上配置我的證書。
步驟2.從Local Security Group Type下拉選單中選擇可訪問VPN隧道的適當型別的本地LAN使用者或使用者組。預設值為Subnet。
步驟3.如果要儲存到目前為止的設定,請向下滾動並按一下Save儲存設定。
注意:如果您在「新增新隧道」一節的步驟3中的Keying Mode下拉選單中選擇Manual或IKE with Preshared Key,請執行以下步驟。
步驟1.從Remote Security Gateway下拉選單中選擇相應的客戶端標識方法以建立VPN隧道。預設值為IP Only。
附註:如果在Add a New Tunnel Through Tunnel or Group VPN一節的步驟3中的Keying Mode下拉選單中選擇Manual,這將是唯一可用的選項。
步驟2.如果要儲存目前所用的設定,請向下滾動並按一下Save儲存設定。
注意:如果您在「新增新隧道」一節的步驟3中的Keying Mode下拉選單中選擇IKE with Certificate,請執行以下步驟。
步驟1.從下拉選單中選擇IP Address或IP by DNS Resolved。
步驟2.從Remote Certificate下拉選單中選擇適當的遠端證書。按一下Import Remote Certificate以匯入新證書,或按一下Authorize CSR以使用數位簽章請求標識證書。
附註:如果您想知道有關如何匯入新證書的更多資訊,請參閱檢視/新增RV320路由器上的受信任SSL證書,要瞭解有關授權CSR的更多資訊,請參閱RV320路由器上的證書簽名請求(CSR)。
步驟3.如果要儲存到目前為止的設定,請向下滾動並按一下Save儲存設定。
注意:如果您從Add a New Tunnel一節的步驟3中的Keying Mode下拉選單中選擇Manual(手動),請執行以下步驟。
步驟1.在傳入SPI欄位中輸入傳入的安全引數索引(SPI)的唯一十六進位制值。SPI承載在封裝安全負載協定(ESP)報頭中,該報頭共同確定傳入資料包的安全關聯(SA)。範圍為100到ffffffff,預設值為100。
步驟2.在Outgoing SPI(傳出SPI)欄位中輸入傳出安全引數索引(SPI)的唯一十六進位制值。SPI在封裝安全負載協定(ESP)報頭中攜帶,ESP報頭共同確定傳出資料包的安全關聯(SA)。範圍為100到ffffffff,預設值為100。
附註:連線裝置的傳入SPI和通道另一端的傳出SPI應相互匹配以建立通道。
步驟3.從Encryption下拉式清單中選擇適當的加密方法。推薦的加密是3DES。VPN通道的兩端需要使用相同的加密方法。
步驟4.從Authentication下拉選單中選擇相應的身份驗證方法。推薦的身份驗證是SHA1。VPN隧道的兩端需要使用相同的身份驗證方法。
步驟5.在Encryption Key欄位中輸入要加密和解密資料的金鑰。如果在步驟3中選擇了DES作為加密方法,請輸入一個16位的十六進位制值。如果在步驟3中選擇了3DES作為加密方法,請輸入一個40位的十六進位制值。
步驟6.在Authentication Key欄位中輸入預共用金鑰以驗證流量。如果在步驟4中選擇MD5作為身份驗證方法,請輸入32位十六進位制值。如果您在步驟4中選擇SHA作為驗證方法,請輸入40位十六進位制值。VPN隧道的兩端需要使用相同的預共用金鑰。
步驟7.如果要儲存目前所用的設定,請向下滾動並按一下Save儲存設定。
注意:如果您在「新增新隧道」一節的步驟3的「金鑰模式」下拉選單中選擇「帶預共用金鑰的IKE」或「帶證書的IKE」,請執行以下步驟。
步驟1.從Phase 1 DH Group下拉選單中選擇適當的第1階段DH組。階段1用於在隧道兩端之間建立單純的邏輯安全關聯(SA),以支援安全的真實通訊。Diffie-hellman(DH)是在階段1連線期間用於共用金鑰以驗證通訊的金鑰交換協定。
步驟2.從Phase 1 Encryption下拉式清單中選擇適當的階段1加密以加密金鑰。建議使用AES-256,因為它是最安全的加密方法。VPN通道的兩端需要使用相同的加密方法。
步驟3.從Phase 1 Authentication下拉選單中選擇相應的身份驗證方法。VPN隧道的兩端需要使用相同的身份驗證方法。
步驟4.在Phase 1 SA Lifetime欄位中輸入VPN隧道保持活動狀態的時間量(以秒為單位),在階段1中,VPN隧道保持活動狀態。 預設時間為28800秒。
步驟5.選中Perfect Forward Secrecy覈取方塊以對金鑰提供更多保護。此選項允許在任何金鑰受到危害時生成新金鑰。加密資料僅通過被洩露的金鑰被洩露。因此,當通過金鑰洩露保護其他金鑰時,它可提供更安全的身份驗證通訊。這是推薦的操作,因為它提供了更高的安全性。
步驟6.從Phase 2 DH Group(第2階段DH組)下拉清單中選擇相應的第2階段DH組。階段1用於在隧道兩端之間建立單純的邏輯安全關聯(SA),以支援安全身份驗證通訊。Diffie-hellman(DH)是在階段1連線期間用於共用金鑰以驗證通訊的金鑰交換協定。
步驟7.從Phase 2 Encryption 下拉式清單中選擇適當的階段2加密以加密金鑰。建議使用AES-256,因為它是最安全的加密方法。VPN通道的兩端需要使用相同的加密方法。
步驟8.從Phase 2 Authentication下拉選單中選擇相應的身份驗證方法。VPN隧道的兩端需要使用相同的身份驗證方法。
步驟9.在Phase 2 SA Lifetime欄位中輸入VPN隧道保持活動狀態的時間量(以秒為單位),在Phase 2 SA Lifetime欄位中輸入。 預設時間為3600秒。
步驟10.如果要啟用預共用金鑰的強度計,請選中Minimum Preshared Key Complexity覈取方塊。
步驟11.在Preshared Key欄位中輸入之前在IKE對等體之間共用的金鑰。最多30個字母數字字元可用作預共用金鑰。VPN隧道的兩端需要使用相同的預共用金鑰。
附註:強烈建議頻繁更改IKE對等體之間的預共用金鑰,以便VPN保持安全。
附註:如果從Add a New Tunnel 部分的Keying Mode下拉選單中選擇IKE with Preshared Key,則只有您能夠選擇配置步驟10、步驟11並檢視Preshared Key Strength Meter。
步驟12.如果要儲存目前所做的設定,請向下滾動並按一下Save以儲存設定。
高級設定只能用於具有預共用金鑰的IKE和具有證書金鑰的IKE。手動金鑰設定沒有任何高級設定。
步驟1.按一下Advanced獲取預共用金鑰的IKE的高級設定。
步驟2.如果網路速度低,請勾選Aggressive Mode覈取方塊。在SA連線期間,它以明文形式交換隧道端點的ID,這要求交換時間較短,但安全性較低。
步驟3.如果要壓縮IP資料包的大小,請勾選Compress(Support IP Payload Compression Protocol(IPComp))覈取方塊。IPComp是一種IP壓縮協定,用於壓縮IP資料包的大小,如果網路速度低且使用者希望快速傳輸資料而不丟失慢速網路。
步驟4.如果您始終希望VPN隧道的連線保持活動狀態,請選中Keep-Alive覈取方塊。它有助於在任何連線變為非活動狀態時立即重新建立連線。
步驟5.如果要驗證驗證標頭(AH),請選中AH Hash Algorithm覈取方塊。AH為資料來源提供身份驗證,通過校驗和資料完整性檢查,並將保護擴展到IP報頭。通道的兩端應使用相同的演算法。
步驟6.如果要允許不可路由的流量通過VPN隧道,請檢查NetBIOS廣播。預設設定為未選中。NetBIOS用於通過一些軟體應用程式和Windows功能(如Network Neighborhood)檢測網路中的網路資源(如印表機、電腦等)。
步驟7.如果要通過公共IP地址從專用LAN訪問Internet,請選中NAT穿越覈取方塊。NAT遍歷用於將內部系統的私有IP地址顯示為公有IP地址,以保護私有IP地址免受任何惡意攻擊或發現。
步驟8.檢查Dead Peer Detection Interval,通過呼叫或ACK定期檢查VPN隧道的活躍度。如果選中此覈取方塊,請輸入所需的hello消息的持續時間或時間間隔。
步驟9.檢查Extended Authentication,為VPN連線提供更多安全性和身份驗證。點選適當的單選按鈕以擴展VPN連線的身份驗證。
附註:要詳細瞭解如何新增或編輯本地資料庫,請參閱RV320路由器上的使用者和域管理配置。
步驟10 。檢查模式配置,為傳入隧道請求方提供IP地址。
附註:第9步到第11步可用於隧道VPN的IKE預共用金鑰模式。
步驟11.按一下Save以儲存設定。
現在,您已瞭解在RV32x系列VPN路由器上配置單個客戶端到網關VPN的步驟