為RV016、RV042、RV042G和RV082 VPN路由器上的VPN客戶端設定遠端訪問隧道（客戶端到網關）

目標

本文說明如何在第三方VPN客戶端軟體作為綠色彎曲或VPN跟蹤器的幫助下在RV016、RV042、RV042G和RV082 VPN路由器上配置從客戶端到網關的遠端訪問虛擬專用網路(VPN)隧道。

簡介

VPN是一種專用網路，用於通過公共網路虛擬連線遠端使用者的裝置以提供安全性。遠端訪問隧道VPN是用於配置客戶端電腦與網路之間的VPN的過程。使用者端是透過VPN使用者端軟體在使用者端案頭或筆記型電腦上設定的。它使使用者能夠安全地遠端連線到網路。客戶端到網關VPN連線對於遠端員工遠端安全地連線到辦公室網路非常有用。

適用裝置

• RV016
• RV042
• RV042G
• RV082

軟體版本

• v4.2.2.08

配置VPN隧道

步驟1.登入到Web配置實用程式並選擇VPN > Client to Gateway。將開啟Client to Gateway頁面：

新增新隧道

步驟1.根據要新增的隧道型別，按一下相應的單選按鈕。

• Tunnel — 代表遠端單個使用者的隧道。
• 組VPN — 代表遠端使用者組的隧道。

Tunnel Number是一個自動生成的欄位，顯示隧道編號。

 

步驟2.在Tunnel Name欄位中輸入隧道名稱。

步驟3.從Interface下拉選單中選擇用於VPN隧道的適當WAN介面。

步驟4.（可選）要啟用VPN，請選中Enable欄位中的覈取方塊。預設情況下，始終選中它。

本地組設定

步驟1.從Local Security Gateway下拉選單中選擇相應的路由器標識方法以建立VPN隧道。 如果您在新增新隧道一節的步驟1中選擇了組VPN，請跳過此步驟。

• 僅IP — 可通過靜態WAN IP地址訪問隧道。僅當路由器具有靜態WAN IP時，才能選擇此選項。靜態WAN IP地址會自動顯示。
• IP +域名(FQDN)身份驗證 — 可以通過靜態IP地址和註冊的完全限定域名(FQDN)域訪問隧道。靜態WAN IP地址是自動生成的欄位。
• IP +電子郵件地址（使用者FQDN）身份驗證 — 通過靜態IP地址和電子郵件地址可以訪問隧道。靜態WAN IP地址是自動生成的欄位。
• 動態IP +域名(FQDN)身份驗證 — 可以通過動態IP地址和註冊域訪問隧道。 
• 動態IP +電子郵件地址（使用者FQDN）身份驗證 — 通過動態IP地址和電子郵件地址可以訪問隧道。 

步驟2.如果您在步驟1中選擇IP +域名(FQDN)身份驗證或動態IP +域名(FQDN)身份驗證，請在「域名」欄位中輸入註冊的完全限定域的名稱。

步驟3.如果在步驟1中選擇IP +電子郵件地址（使用者FQDN）身份驗證或動態IP +電子郵件地址（使用者FQDN）身份驗證，請在「電子郵件地址」(Email Address)欄位中輸入Email Address。

步驟4.從Local Security Group下拉選單中選擇可訪問VPN隧道的適當本地LAN使用者或使用者組。預設值為Subnet。

• IP — 只有一個特定的LAN裝置可以存取通道。如果選擇此選項，請在「IP地址」欄位中輸入LAN裝置的IP地址。預設IP是192.168.1.0。
• 子網 — 特定子網上的所有LAN裝置均可訪問隧道。如果選擇此選項，請分別在IP地址和子網掩碼欄位中輸入LAN裝置的IP地址和子網掩碼。預設掩碼為255.255.255.0。
• IP範圍 — 一系列LAN裝置可以存取通道。如果選擇此選項，請在開始IP和結束IP欄位中分別輸入開始和結束IP地址。預設範圍是從192.168.1.0到192.168.1.254。

步驟5.按一下「Save」以儲存設定。

遠端客戶端設定

步驟1.如果選擇Tunnel，請從Remote Security Gateway Type下拉選單中選擇相應的客戶端標識方法以建立VPN隧道。預設值為「僅IP」。 如果選擇新增新隧道一節的步驟1中的組VPN，請跳過此步驟。

• 僅IP — 只能通過客戶端的靜態WAN IP訪問隧道。您必須知道客戶端的靜態WAN IP才能使用此選項。 
• IP +域名(FQDN)身份驗證 — 可以通過客戶端的靜態IP地址和註冊的域訪問隧道。 
• IP +電子郵件地址（使用者FQDN）身份驗證 — 通過客戶端的靜態IP地址和電子郵件地址可以訪問隧道。 
• 動態IP +域名(FQDN)身份驗證 — 可以通過客戶端和註冊域的動態IP地址訪問隧道。 
• 動態IP +電子郵件地址（使用者FQDN）身份驗證 — 通過客戶端的動態IP地址和電子郵件地址可以訪問隧道。 

步驟2.如果您在步驟1中選擇了「僅IP」、「IP +域名(FQDN)」或「IP +電子郵件地址（使用者FQDN）身份驗證」，請在「IP地址」欄位中輸入遠端客戶端的IP地址。

步驟3.如果您知道IP地址，請從下拉選單中選擇相應的選項以輸入IP地址；如果您在步驟1中選擇IP Only或IP +域名(FQDN)驗證或IP +電子郵件地址（使用者FQDN）驗證，請從DNS伺服器解析IP地址。

• IP地址 — 表示遠端客戶端的靜態IP地址。在欄位中輸入靜態IP地址。
• IP by DNS Resolved — 表示IP地址的域名，如果您不知道遠端客戶端的靜態IP地址，則該域名會通過本地DNS伺服器自動檢索IP地址。在欄位中輸入IP地址的域名。

步驟4.如果您在步驟1中選擇IP +域名(FQDN)身份驗證或動態IP +域名(FQDN)身份驗證，請在「域名」(Domain name)欄位中輸入IP地址的域名。

步驟5.如果您在步驟1中選擇IP +電子郵件地址（使用者FQDN）身份驗證或動態IP +電子郵件地址（使用者FQDN）身份驗證，請在「電子郵件地址」(Email Address)欄位中輸入電子郵件地址。

步驟6.如果選擇組，請從遠端客戶端下拉選單中選擇相應的遠端客戶端型別。 如果選擇新增新隧道一節的步驟1中的隧道VPN，請跳過此步驟。

• 域名(FQDN) — 可以通過註冊的域訪問隧道。如果選擇此選項，請在「域名」欄位中輸入已註冊域的名稱。
• 電子郵件地址（使用者FQDN） — 可以通過客戶端的電子郵件地址訪問隧道。如果選擇此選項，請在「電子郵件地址」欄位中輸入電子郵件地址。
• Microsoft XP/2000 VPN客戶端 — 可以通過Microsoft XP或Microsoft 2000 windows軟體訪問隧道。使用Microsoft VPN客戶端軟體的遠端使用者可以通過軟體訪問隧道。

步驟7.按一下「Save」以儲存設定。

IPSec設定

網際網路通訊協定安全(IPSec)是一種網際網路層安全通訊協定，可在任何通訊作業階段期間透過驗證和加密提供端對端安全。

注意：VPN的兩端需要採用相同的加密、解密和身份驗證方法，IPSec才能正常工作。此外，隧道兩端的完全轉發保密金鑰必須相同。

步驟1.從Keying Mode下拉選單中選擇相應的金鑰管理模式以確保安全。預設模式為IKE with Preshared key。

• 手動 — 一種自定義安全模式，可自行生成新的安全金鑰，無需與金鑰協商。這是進行故障排除和小型靜態環境時的最佳選擇。如果您在Add A New Tunnel一節的步驟1中選擇組VPN，則此選項處於禁用狀態。
• 使用預共用金鑰的IKE — 網際網路金鑰交換(IKE)協定用於自動生成和交換預共用金鑰以建立隧道的身份驗證通訊。 

手動金鑰模式配置

步驟1.在Incoming SPI（傳入SPI）欄位中輸入傳入安全引數索引(SPI)的唯一十六進位制值。SPI以封裝安全性負載通訊協定(ESP)標頭的方式傳輸，共同決定對傳入封包的保護。您可以輸入100到ffffff。本地路由器的傳入SPI需要與遠端路由器的傳出SPI匹配。

步驟2.在Outgoing SPI（傳出SPI）欄位中輸入傳出安全引數索引(SPI)的唯一十六進位制值。SPI以封裝安全負載協定(ESP)報頭形式傳輸，共同決定對傳出封包的保護。 您可以輸入100到ffffff。遠端路由器的傳出SPI需要與本地路由器的傳入SPI匹配。

步驟3.從Encryption下拉選單中選擇資料的適當加密方法。推薦的加密方式為3DES。 VPN隧道需要為兩端使用相同的加密方法。

• DES — 資料加密標準(DES)使用56位金鑰大小進行資料加密。DES已過時，應僅在一個終端僅支援DES的情況下使用。
• 3DES — 三重資料加密標準(3DES)是一種168位、簡單的加密方法。3DES對資料進行三次加密，比DES具有更高的安全性。

步驟4.從Authentication下拉選單中選擇資料的相應身份驗證方法。推薦的身份驗證是SHA1，因為它比MD5更安全。VPN隧道需要為兩端使用相同的身份驗證方法。

• MD5 - Message Digest Algorithm-5(MD5)表示32位十六進位制雜湊函式，通過校驗和計算為資料提供保護，使其免受惡意攻擊。
• SHA1 — 安全雜湊演演算法版本1(SHA1)是一個160位元的雜湊函式，比MD5更安全，但計算時間更長。

步驟5.在Encryption Key欄位中輸入要加密和解密資料的金鑰。如果您在步驟3中選擇DES作為加密方法，請輸入一個16位的十六進位制值。如果您在步驟3中選擇3DES作為加密方法，請輸入一個40位的十六進位制值。

步驟6.在Authentication Key欄位中輸入預共用金鑰以驗證流量。 如果在步驟4中選擇MD5作為身份驗證方法，請輸入32位十六進位制值。如果您在步驟4中選擇SHA作為驗證方法，請輸入40位十六進位制值。VPN隧道的兩端需要使用相同的預共用金鑰。

步驟7.按一下「Save」以儲存設定。

使用預共用金鑰模式配置的IKE

步驟1.從Phase 1 DH Group（第1階段DH組）下拉選單中選擇相應的第1階段DH組。階段1用於在隧道兩端之間建立單純的邏輯安全關聯(SA)，以支援安全身份驗證通訊。Diffie-hellman(DH)是一種加密金鑰交換協定，用於在第1階段確定金鑰的強度，並且它還共用金鑰以驗證通訊。 

• 組1 - 768位 — 強度最低的金鑰和最不安全的身份驗證組。但計算IKE金鑰所需的時間更短。如果網路速度低，則首選此選項。
• 組2 - 1024位 — 強度更高的金鑰和更安全的身份驗證組。但需要一些時間來計算IKE金鑰。 
• 組5 - 1536位 — 表示強度最高的金鑰和最安全的身份驗證組。它需要更多時間計算IKE金鑰。如果網路速度高，則優先使用。

 

步驟2. 從Phase 1 Encryption下拉選單中選擇相應的階段1加密以對金鑰進行加密。建議使用3DES，因為它是最安全的加密方法。VPN通道的兩端需要使用相同的加密方法。

• DES — 資料加密標準(DES)使用56位金鑰大小進行資料加密。DES已過時，應僅在一個終端僅支援DES的情況下使用。
• 3DES — 三重資料加密標準(3DES)是一種168位、簡單的加密方法。3DES對資料進行三次加密，比DES具有更高的安全性。
• AES-128 — 進階加密標準(AES)是128位元加密方法，它透過10個週期的重複將純文字轉換為密碼文字。
• AES-192 — 進階加密標準(AES)是192位元加密方法，透過12個循環重複將純文字轉換為密碼文字。AES-192比AES-128更安全。
• AES-256 — 進階加密標準(AES)是256位元加密方法，它透過14個週期重複將純文字轉換為密碼文字。AES-256是最安全的加密方法。

步驟3.從Phase 1 Authentication下拉選單中選擇相應的階段1身份驗證方法。 VPN隧道的兩端需要使用相同的身份驗證方法。

• MD5 - Message Digest Algorithm-5(MD5)表示32位十六進位制雜湊函式，通過校驗和計算為資料提供保護，使其免受惡意攻擊。
• SHA1 — 安全雜湊演演算法版本1(SHA1)是一個160位元的雜湊函式，比MD5更安全，但計算時間更長。

步驟4.在Phase 1 SA Life Time欄位中輸入階段1金鑰有效且VPN隧道保持活動狀態的時間量（以秒為單位）。

步驟5.選中Perfect Forward Secrecy覈取方塊以對金鑰提供更多保護。此選項允許路由器在任一金鑰受損時生成新金鑰。加密資料僅通過被洩露的金鑰被洩露。因此，當通過金鑰洩露保護其他金鑰時，它可提供更安全的身份驗證通訊。這是推薦的操作，因為它提供了更高的安全性。

步驟6. 從Phase 2 DH Group（第2階段DH組）下拉選單中選擇適當的第2階段DH組。階段2使用安全關聯，用於在資料包通過兩個端點期間確定資料包的安全性。

組1 - 768位 — 表示強度最低的金鑰和最不安全的身份驗證組。但計算IKE金鑰所需的時間更少。如果網路速度低，則優先使用。

組2 - 1024位 — 表示強度更高的金鑰和更安全的身份驗證組。但需要一些時間來計算IKE金鑰。 

組5 - 1536位 — 表示強度最高的金鑰和最安全的身份驗證組。它需要更多時間計算IKE金鑰。如果網路速度高，則優先使用。

步驟7.從Phase 2 Encryption下拉選單中選擇相應的階段2加密以加密金鑰。建議使用AES-256，因為它是最安全的加密方法。VPN通道的兩端需要使用相同的加密方法。

• DES — 資料加密標準(DES)使用56位金鑰大小進行資料加密。DES已過時，應僅在一個終端僅支援DES的情況下使用。
• 3DES — 三重資料加密標準(3DES)是一種168位、簡單的加密方法。3DES對資料進行三次加密，比DES具有更高的安全性。
• AES-128 — 進階加密標準(AES)是128位元加密方法，它透過10個週期的重複將純文字轉換為密碼文字。
• AES-192 — 進階加密標準(AES)是192位元加密方法，透過12個循環重複將純文字轉換為密碼文字。AES-192比AES-128更安全。
• AES-256 — 進階加密標準(AES)是256位元加密方法，它透過14個週期重複將純文字轉換為密碼文字。AES-256是最安全的加密方法。

步驟8.從Phase 2 Authentication下拉選單中選擇相應的身份驗證方法。 VPN隧道需要為兩端使用相同的身份驗證方法。

• MD5 - Message Digest Algorithm-5(MD5)表示32位十六進位制雜湊函式，通過校驗和計算為資料提供保護，使其免受惡意攻擊。
• SHA1 — 安全雜湊演演算法版本1(SHA1)是一個160位元的雜湊函式，比MD5更安全，但計算時間更長。
• 空 — 不使用身份驗證方法。

步驟9.在Phase 2 SA Life Time欄位中輸入階段2金鑰有效且VPN隧道保持活動狀態的時間量（以秒為單位）。

步驟10.在Preshared Key欄位中輸入之前在IKE對等體之間共用的金鑰，以對對等體進行身份驗證。最多可使用30個十六進位制和字元作為預共用金鑰。VPN隧道的兩端需要使用相同的預共用金鑰。

注意：強烈建議頻繁更改IKE對等體之間的預共用金鑰，以使VPN保持安全。 

步驟11.如果要為預共用金鑰啟用強度計，請選中Minimum Preshared Key Complexity覈取方塊。它用於通過色條確定預共用金鑰的強度

注意: 預共用金鑰強度計通過彩色條顯示預共用金鑰的強度。紅色表示弱強度，黃色表示可接受強度，綠色表示強強度。

步驟12.按一下「Save」以儲存設定。

具有預共用金鑰模式配置的高級IKE

步驟1.按一下Advanced以顯示帶有預共用金鑰的IKE的高級設定。 

步驟2.如果您的網路速度低，請勾選Aggressive Mode覈取方塊。這會在SA連線（第1階段）期間以明文交換隧道端點的ID，這要求交換的時間較短，但安全性較低。

注意：主動模式不可用於組客戶端到網關VPN連線。

步驟3.如果要壓縮IP資料包的大小，請選中Compress(Support IP Payload Compression Protocol(IPComp))覈取方塊。IPComp是一種用於壓縮IP資料包大小的IP壓縮協定。IP壓縮在網路速度低且使用者希望快速傳輸資料而不丟失慢速網路時非常有用，但它不提供任何安全性。

步驟4.如果您始終希望VPN隧道的連線保持活動狀態，請選中Keep-Alive覈取方塊。「保持連線」有助於在任何連線變為非活動狀態時立即重新建立連線。

 

步驟5. 如果要啟用Authenticate Header(AH)，請選中AH Hash Algorithm覈取方塊。AH通過校驗和為IP報頭提供源資料身份驗證、資料完整性保護。通道的兩端應具有相同的演算法。

• MD5 - Message Digest Algorithm-5(MD5)表示128位十六進位制雜湊函式，通過校驗和計算為資料提供保護，使其免受惡意攻擊。
• SHA1 — 安全雜湊演演算法版本1(SHA1)是一個160位元的雜湊函式，比MD5更安全，但計算時間更長。

步驟6.如果要允許不可路由的流量通過VPN隧道，請選中NetBIOS Broadcast。預設設定為未選中。NetBIOS用於通過一些軟體應用程式和Windows功能（如Network Neighborhood）檢測網路中的網路資源（如印表機、電腦等）。 

步驟7.如果要通過公共IP地址從專用LAN訪問Internet，請選中NAT穿越覈取方塊。如果您的VPN路由器位於NAT網關之後，請選中此覈取方塊以啟用NAT穿越。通道的兩端必須具有相同的設定。

步驟8.檢查失效對等體檢測間隔，以定期方式通過hello或ACK檢查VPN隧道的生命力。如果選中此覈取方塊，請輸入所需的hello消息持續時間或時間間隔。

注意：只能為單個客戶端到網關VPN連線配置失效對等項檢測間隔，而不能為組客戶端到網關VPN連線配置失效對等項檢測間隔。

步驟9.按一下「Save」以儲存設定。

現在您已學習如何在RV016、RV042、RV042G和RV082 VPN路由器上配置從客戶端到網關的遠端訪問VPN隧道。

修訂記錄

修訂	發佈日期	意見
1.0	10-Dec-2018	初始版本