在RV130和RV130W上使用Shrew Soft VPN客戶端連線IPSec VPN伺服器

目標

通過IPSec VPN（虛擬專用網路），您可以通過建立網際網路上的加密隧道來安全地獲取遠端資源。

RV130和RV130W充當IPSec VPN伺服器，並支援Shrew Soft VPN客戶端。

確保下載最新版本的客戶端軟體。

· Shrew軟體(https://www.shrew.net/download/vpn)

附註：要成功設定並配置帶有IPSec VPN伺服器的Shrew Soft VPN客戶端，您需要首先配置IPSec VPN伺服器。有關如何執行此操作的資訊，請參閱在RV130和RV130W上配置IPSec VPN伺服器。

本文檔的目的是向您展示如何使用Shrew Soft VPN客戶端連線到RV130和RV130W上的IPSec VPN伺服器。

適用裝置

· RV130W無線 — N VPN防火牆

· RV130 VPN防火牆

系統要求

· 32或64位系統

· Windows 2000、XP、Vista或Windows 7/8

拓撲

下面顯示了頂級拓撲，說明Shrewsoft客戶端到站點配置中涉及的裝置。

下面是一個更詳細的流程圖，說明DNS伺服器在小型企業網路環境中的作用。

軟體版本

•1.0.1.3

設定顯示軟VPN客戶端

IPSec VPN設定和使用者配置

步驟1.登入到Web配置實用程式並選擇VPN > IPSec VPN Server > Setup。將開啟Setup頁面。

步驟2.驗證是否已正確配置RV130的IPSec VPN伺服器。如果IPSec VPN伺服器未配置或配置錯誤，請參閱在RV130和RV130W上配置IPSec VPN伺服器，然後按一下Save。

附註：以上設定是RV130/RV130W IPSec VPN伺服器配置的示例。這些設定基於RV130和RV130W上的IPSec VPN伺服器配置文檔，將在後續步驟中參考。

步驟3.導航到VPN > IPSec VPN Server > User。系統將顯示User頁面。

步驟4.單擊Add Row以新增使用者帳戶，用於對VPN客戶端進行身份驗證（擴展身份驗證），並在提供的欄位中輸入所需的使用者名稱和密碼。

步驟5.按一下Save以儲存設定。

VPN客戶端配置

步驟1.開啟Shrew VPN Access Manager並按一下Add新增配置檔案。

出現「VPN Site Configuration」視窗。

步驟2.在General 索引標籤下的Remote Host區段中，輸入您嘗試連線的網路的公用主機名或IP地址。

附註：確保埠號設定為預設值500。為使VPN正常工作，隧道使用UDP埠500，該埠應設定為允許在防火牆上轉發ISAKMP流量。

步驟3.在Auto Configuration下拉式清單中選擇disabled。

可用選項定義如下：

·禁用 — 禁用任何自動客戶端配置。

· IKE Config Pull — 允許客戶端從電腦設定請求。在電腦支援Pull方法的情況下，請求將返回客戶端支援的設定清單。

· IKE Config Push — 使電腦有機會通過配置過程向客戶端提供設定。在電腦支援Push方法的情況下，請求將返回客戶端支援的設定清單。

· DHCP Over IPSec — 使客戶端有機會通過DHCP over IPSec從電腦請求設定。

步驟4.在Local Host部分，在Adapter Mode下拉選單中選擇Use an existing adapter and current address。

可用選項定義如下：

·使用虛擬介面卡和分配的地址 — 允許客戶端使用具有指定地址的虛擬介面卡作為其IPsec通訊的源。

·使用虛擬介面卡和隨機地址 — 允許客戶端使用具有隨機地址的虛擬介面卡作為其IPsec通訊的源。

·使用現有介面卡和當前地址 — 允許客戶端僅使用其現有物理介面卡（其當前地址作為其IPsec通訊的源）。

步驟5.按一下Client 索引標籤。在「NAT Traversal」下拉選單中，選擇在RV130/RV130W上為NAT Traversal配置的相同設定，請參閱在RV130和RV130W上配置IPSec VPN伺服器。

可用的Network Address Translation Traversal(NATT)選單選項定義如下：

·禁用 — 將不使用NATT協定擴展。

·啟用 — 僅當VPN網關在協商期間指示支援並且檢測到NAT時，才會使用NAT協定擴展。

· Force-Draft — 將使用NATT協定擴展的Draft版本，而不管在協商期間是否顯示VPN網關支援，或是否檢測到NAT。

· Force-RFC — 將使用NAT協定的RFC版本，而不管協商期間是否顯示VPN網關支援，或是否檢測到NAT。

·強制 — Cisco-UDP — 對沒有NAT的VPN客戶端強制UDP封裝。

步驟6.按一下Name Resolution頁籤，如果要啟用DNS，請選中Enable DNS覈取方塊。如果您的站點配置不需要特定DNS設定，請取消選中Enable DNS覈取方塊。

步驟7.（可選）如果將遠端網關配置為支援配置交換，則網關能夠自動提供DNS設定。如果未選中，請驗證Obtain Automatically覈取方塊是否已選中，並手動輸入有效的DNS伺服器地址。

步驟8.（可選）如果要啟用Windows Internet名稱伺服器(WINS)，請按一下Name Resolution頁籤，選中Enable WINS覈取方塊。 如果您的遠端網關配置為支援配置交換，則該網關能夠自動提供WINS設定。如果未選中，請驗證Obtain Automatically覈取方塊是否未選中，並手動輸入有效的WINS伺服器地址。

附註：通過提供WINS配置資訊，客戶端將能夠使用位於遠端專用網路中的伺服器解析WINS名稱。這在嘗試使用統一命名約定路徑名訪問遠端Windows網路資源時很有用。WINS伺服器通常屬於Windows域控制器或Samba伺服器。

步驟9.按一下Authentication頁籤，然後在Authentication Method下拉選單中選擇Mutual PSK + XAuth。

可用選項定義如下：

·混合RSA +擴展驗證 — 不需要客戶端憑據。使用者端會驗證閘道。憑據將採用PEM或PKCS12證書檔案或金鑰檔案型別的形式。

·混合GRP +擴展驗證 — 不需要客戶端憑據。使用者端會驗證閘道。憑證將採用PEM或PKCS12證書檔案和共用金鑰字串的形式。

·雙方RSA +擴展驗證 — 客戶端和網關都需要憑證進行身份驗證。憑證將採用PEM或PKCS12證書檔案或金鑰型別的形式。

·雙方PSK +擴展驗證 — 客戶端和網關都需要憑證進行身份驗證。憑據將採用共用金鑰字串的形式。

·雙方RSA — 客戶端和網關都需要憑證進行身份驗證。憑證將採用PEM或PKCS12證書檔案或金鑰型別的形式。

·雙向PSK — 客戶端和網關都需要憑證進行身份驗證。憑據將採用共用金鑰字串的形式。

步驟10.在Authentication部分，按一下Credentials子頁籤，然後在Pre Shared Key欄位中輸入在IPsec VPN伺服器設定頁上配置的相同預共用金鑰。

步驟11.按一下Phase 1選項卡。配置以下引數，使其與本文檔的IPSec VPN伺服器使用者配置第2步中為RV130/RV130W配置的設定相同。

Shrew Soft中的引數應匹配階段1中的RV130/RV130W配置，如下所示：

· 「Exchange Type」應與「Exchange Mode」匹配。

· 「DH交換」應與「DH組」匹配。

· 「密碼演算法」應與「加密演算法」匹配。

· 「雜湊演算法」應與「身份驗證演算法」匹配。

步驟12。（可選）如果網關在階段1協商期間提供思科相容供應商ID，請選中Enable Check Point Compatible Vendor ID覈取方塊。如果網關未選中或您不確定，請取消選中該覈取方塊。

步驟13.按一下Phase 2選項卡。配置以下引數，使其與本文檔的IPSec VPN伺服器使用者配置第2步中為RV130/RV130W配置的設定相同。

Shrew Soft中的引數應匹配第2階段中的RV130/RV130W配置，如下所示：

· 「轉換演算法」應與「加密演算法」匹配。

· 「HMAC演算法」應與「身份驗證演算法」匹配。

·如果在RV130/RV130W上啟用了PFS金鑰組，則PFS Exchange應匹配「DH組」。否則，請選擇disabled。

· 「金鑰有效期限制」應與「IPSec SA生存期」匹配。

步驟14.按一下Policy頁籤，然後在Policy Generation Level下拉選單中選擇require。Policy Generation Level選項修改生成IPsec策略的級別。下拉選單中提供的不同級別對映到由不同供應商實施實施的IPSec SA協商行為。

可用選項定義如下：

·自動 — 客戶端將自動確定適當的IPSec策略級別。

·要求 — 客戶端不會為每個策略協商唯一的安全關聯(SA)。使用本地公有地址作為本地策略ID，使用遠端網路資源作為遠端策略ID來生成策略。階段2建議將在協商期間使用策略ID。

·唯一 — 客戶端將為每個策略協商一個唯一的SA。

·共用 — 在所需級別生成策略。階段2建議將在協商期間使用本地策略ID作為本地ID，使用Any(0.0.0.0/0)作為遠端ID。

步驟15.取消選中Obtain Topology Automatically or Tunnel All覈取方塊。此選項修改為連線配置安全策略的方式。禁用時，必須執行手動配置。啟用時，會執行自動配置。

步驟16.按一下Add以新增您要連線的遠端網路資源。遠端網路資源包括遠端案頭訪問、部門資源、網路驅動器和安全電子郵件。

出現Topology Entry視窗：

步驟17.在地址欄位中，輸入RV130/RV130W的子網ID。此地址應與本文檔的IPSec VPN Server Setup and User Configuration部分的步驟2中的IP Address欄位匹配。

步驟18.在Netmask欄位中，輸入RV130/RV130W本地網路的子網掩碼。網路掩碼應與本文檔的IPSec VPN伺服器使用者配置部分的步驟2中的子網掩碼欄位匹配。

步驟19.按一下Ok完成新增遠端網路資源。

步驟20.按一下Save儲存要連線到VPN站點的配置。

步驟21.返回VPN Access Manager視窗以選擇配置的VPN站點，然後按一下Connect按鈕。

出現VPN Connect視窗。

步驟22.在Credentials部分中，輸入您在本文檔的IPSec VPN伺服器使用者配置部分的步驟4中設定的帳戶的使用者名稱和密碼。

步驟23.按一下Connect to VPN into the RV130/RV130W。

IPSec VPN隧道已建立，VPN客戶端可以訪問RV130/RV130W LAN後面的資源。