Branch Office VPN > Branch Office VPN 示例 > WatchGuard 的 VPN 互操作性(Fireware XTM 到 Fireware XTM)
WatchGuard 的 VPN 互操作性(Fireware XTM 到 Fireware XTM)
对于网络以及主机和网络的组合来说,Branch Office Virtual Private Network (BOVPN) 隧道是通过 Internet 交换数据的安全方式。 本主题告诉您如何定义手动 BOVPN 隧道。
本主题不会详细说明 BOVPN 对话框中的不同设置以及它们如何影响现有的隧道。 如果您希望了解有关特定设置的更多信息,请参阅:
收集 IP 地址和隧道设置
要创建手动 BOVPN 隧道,您必须首先收集 IP 地址并确定端点的设置。 为了帮助您进行配置,您可以打印本文档,记下或标明您需要使用的值,随后在您配置 Policy Manager 中的设置时参考这些内容。
在此主题中,两个端点都必须有静态外部 IP 地址。
有关连接到使用动态外部 IP 地址的设备的 BOVPN 隧道的信息,请参阅“定义网关端点”。
如果您只是两台设备中一台的管理员,您可以把此表交给另一位管理员,以确保他/她为第 1 阶段和第 2 阶段设置使用的值与您所用的完全相同。
确保您正确配置 VPN 端点,且两台设备的第 1 阶段和第 2 阶段设置相同。 如果设置不匹配则不能建立隧道。
如果某个设置未显示在此列表中,请不要更改其默认值。
BOVPN 隧道设置
站点 A(使用 Fireware XTM v11.x 的 XTM 设备)
公用 IP 地址: ______________________________
专用 IP 地址: _____________________________
站点 B(使用 Fireware XTM v11.x 的 XTM 设备)
公用 IP 地址: ______________________________
专用 IP 地址: _____________________________
第 1 阶段设置(两端使用的值必须完全相同)
对于两台使用 Fireware XTM 的 Firebox 或 XTM 设备之间的 BOVPN 隧道,建议您选择“Dead Peer Detection (RFC3706)”,而不要选择“IKE 保持活动”。 不要同时选择两者。 如果两台端点设备都支持Dead Peer Detection,应始终选择该设置。
凭据方法: 选择“使用预共享的密钥”。
模式(选择一个): 主模式____ 攻击性模式____
预共享的密钥: ______________________________
NAT 穿越: 是 ____ 否 ____
NAT 穿越保持活动间隔: ________________
IKE 保持活动: 是 ____ 否 ____
IKE 保持活动消息间隔: ________________
IKE 保持活动最大失败数: ________________
Dead Peer Detection (RFC3706): 是 ____ 否 ____
Dead Peer Detection 流量闲置超时: ________________
Dead Peer Detection 最大重试次数: ________________
身份验证算法(选择一个): SHA1____ MD5____
加密算法(选择一个): DES____ 3DES____ AES-128____ AES-192____ AES-256____
SA 有效期 ________________
选择用“小时”作为 SA 有效期的单位。
Diffie-Hellman 组(选择一个): 1____ 2____ 5____
第 2 阶段设置(两端使用的值必须完全相同)
类型: AH ____ ESP ____
身份验证算法(选择一个): 无____ MD5____ SHA1____
加密算法(选择一个): DES____ 3DES____ AES-128____ AES-192____ AES-256____
强制密钥过期(选择一个): 启用____ 禁用____
Perfect Forward Secrecy(Diffie-Hellman 组): 禁用____ 组 1____ 组 2____ 组 5____
第 2 阶段密钥到期时间(小时)________________
第 2 阶段密钥到期时间(千字节)________________
隧道设置示例
本页面与上一页所含字段相同,并且包含设置示例。 这些设置对应于本例中图片上显示的设置。
站点 A(使用 Fireware XTM v11.x 的 XTM 设备)
公用 IP 地址: 50.50.50.50
专用网络 IP 地址: 10.0.50.1/24
站点 B(使用 Fireware XTM v11.x 的 XTM 设备)
公用 IP 地址: 100.100.100.100
专用网络 IP 地址: 192.168.100.1/24
第 1 阶段设置(两端使用的值必须完全相同)
凭据方法: 选择“使用预共享的密钥”。
模式(选择一个): 主模式
预共享的密钥: SiteA2SiteB
NAT 穿越: 是
NAT 穿越保持活动间隔: 20 秒
IKE 保持活动: 否
IKE 保持活动消息间隔:无
IKE 保持活动最大失败数:无
Dead Peer Detection (RFC3706): 是
Dead Peer Detection 流量闲置超时: 20 秒
Dead Peer Detection 最大重试次数: 5
身份验证算法(选择一个): SHA1
加密算法(选择一个): 3DES
SA 有效期: 8
选择用“小时”作为 SA 有效期的单位。
Diffie-Hellman 组(选择一个): 2
第 2 阶段设置(两端使用的值必须完全相同)
类型: 封装安全负载 (ESP)
身份验证算法(选择一个): SHA1
加密算法(选择一个): AES(256 位)
强制密钥过期(选择一个): 启用
Perfect Forward Secrecy(Diffie-Hellman 组): 禁用
第 2 阶段密钥到期时间(小时): 8
第 2 阶段密钥到期时间(千字节): 128000
如果您使用的是 WSM v11.x,那么第 1 阶段和第 2 阶段设置的示例就是您的默认设置, 它们也与 WSM v10.2.2 及更高版本、Edge v10.2.2 及更高版本的默认设置匹配。
配置站点 A (Fireware XTM v11.x)
现在于站点 A 上配置网关,该站点具有使用 Fireware XTM v11.x 的 XTM 设备。 网关是一个或多个隧道的连接点。 要配置网关,您需要指定:
- 凭据方法(预共享密钥或 IPSec XTM 设备证书)
- 本地和远程网关端点的位置(通过 IP 地址或域信息指定)
- Internet 密钥交换 (IKE) 协商的第 1 阶段设置
添加 VPN 网关:
- 选择“VPN”>“Branch Office VPN”。
此时将显示“Branch Office VPN”配置页面,其顶部为“网关”列表。
- 要添加网关,请在“网关”列表旁单击“添加”。
将显示网关设置页面。
- 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
- 选择“常规设置”选项卡。
- 在“凭据方法 ”部分中选择“使用预共享的密钥”。 键入共享密钥。
该共享密钥必须仅使用标准 ASCII 字符。
- 在“网关端点”部分中单击“添加”。
此时将显示“新建网关端点设置”对话框。
- 在“本地网关”部分中选择“按 IP 地址”。
- 在“按 IP 地址”文本框中输入站点 A XTM 设备的外部(公用)IP 地址。
- 从“外部接口 ”下拉列表中选择具有站点 A XTM 设备外部(公用)IP 地址的接口。
- 在“远程网关”部分中选择“静态 IP 地址”。
- 在“静态 IP 地址”文本框中键入站点 B XTM 设备的外部(公用)IP 地址。
- 选择“按 IP 地址”。
- 在“按 IP 地址”文本框中输入站点 B XTM 设备的外部(公用)IP 地址。
- 单击“确定”关闭“新建网关端点设置”对话框。
“网关端点”列表中将显示已定义的网关对。
配置第 1 阶段设置
在 IPSec 连接的第 1 阶段中,两个对等方建立一个经过身份验证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。
- 单击“第 1 阶段设置”选项卡。
- 从“模式”下拉列表中选择“主模式”或“攻击性模式”。 确保您选择的设置与您在本主题顶部“BOVPN 隧道设置”中选择的一样。
由于两个端点都有静态 IP 地址,所以本示例使用了“主模式”。 如果一个端点有动态 IP 地址,则您必须使用攻击性模式。
- 选择“NAT 穿越”、“IKE 保持活动”或“ Dead Peer Detection (RFC3706)”。 确保您选择的值与您在“BOVPN 隧道设置”中选择的值一样。
对于 XTM 设备与使用 Fireware 10.2.2 或更高版本的 Firebox 之间的 BOVPN 隧道,我们建议您选择“NAT 穿越”和“Dead Peer Detection”。
- 在“转换设置 ”部分中,选择默认转换,然后单击“编辑”。
- 从“身份验证”和“加密”下拉列表中,选择您在“BOVPN 隧道设置”中选择的方法。
- 在“SA 有效期”文本框中,输入您在“BOVPN 隧道设置”中选择的设置。 在下拉列表中选择“小时。
- 从“密钥组”下拉列表中选择一个 Diffie-Hellman 组。
- 单击“确定”。 保持所有其他第 1 阶段设置的默认值不变。
- 单击“ 保存”以关闭“网关”页面。
您添加的网关将会显示在“BOVPN”页面的“网关”列表中。
添加 VPN 隧道
定义网关后,您就可以在这些网关之间创建隧道。 创建隧道时您必须指定:
- 路由(隧道的本地和远程端点)
- Internet 密钥交换 (IKE) 协商的第 2 阶段的设置
添加 VPN 隧道:
- 单击“隧道”列表旁边的“添加”。
将显示“隧道”配置页面。
- 在“隧道名称”文本框中输入隧道的名称。
- 在“网关”下拉列表中选择您创建的网关。
- 要向 BOVPN-Allow.in 和 BOVPN-Allow.out 策略中添加隧道,请在“地址”选项卡中选中“将此隧道添加至 BOVPN-Allow 策略”复选框。
这些策略允许与隧道路由匹配的所有流量。 如果要限制通过隧道的流量,请清除此复选框,并使用 BOVPN 策略向导为允许通过此隧道的各类型流量创建策略。
- 在“地址” 部分中单击“添加”。
将显示“隧道路由设置”对话框。
- 在“本地 IP”部分,从“选择类型”下拉列表中选择本地地址的类型。
- 在“网络 IP”文本框中输入本地(专用)网络地址。
这是站点 A 的专用网络 IP 地址。
- 在“远程 IP”部分的“选择类型”下拉列表中,选择远程地址的类型。
- 在“网络 IP”文本框中输入远程(专用)网络地址。
这是站点 B 的专用网络地址。
- 从“方向”下拉列表中选择隧道的方向。 隧道方向决定了 VPN 隧道的哪个端点可以启动通过隧道的 VPN 连接。
- 单击“确定”。
隧道路由显示在“隧道”设置页面的“地址”部分。
配置第 2 阶段设置
第二阶段设置包括安全性关联 (SA) 的设置,它定义了当数据包在两个端点之间传递时,如何对其加以保护。 SA 保留所有必要的信息,让 Firebox 可以知道它应该如何对端点之间的流量进行处理。
- 在“隧道”设置页面中单击“第 2 阶段设置”选项卡。
- 要启用 Perfect Forward Secrecy (PFS),请选中 PFS 复选框。
- 如果启用了 PFS,请在 PFS 下拉列表中选择正确的 Diffie-Hellman 组。
- XTM 设备包含一个默认方案,显示在“IPSec 方案”列表中。 此方案指定 ESP 数据保护方法、AES 加密以及 SHA1 身份验证。 在此示例中,我们使用默认方案。 您可以:
- 单击“添加”以添加默认方案。
- 删除默认方案。 随后在下拉列表中选择不同的方案并单击“添加”。
- 添加另一个方案,方法请参阅“添加 第 2 阶段方案”。
- 单击“保存”。
您创建的隧道将显示在 BOVPN 页面的“隧道”列表中。
站点 A 的 XTM 设备现在已配置完毕。
配置站点 B (Fireware XTM v11.x)
现在于站点 B 上配置网关,该站点具有使用 Fireware v11.x 的 XTM 设备。
添加 VPN 网关:
- 选择“VPN”>“Branch Office VPN。
将显示 BOVPN 配置页面,其顶部为“网关”列表。
- 要添加网关,请单击“添加”。
将显示网关设置页面。
- 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
- 选择“常规设置”选项卡。
- 在“凭据方法 ”部分中选择“使用预共享的密钥”。 键入共享密钥。
该共享密钥必须仅使用标准 ASCII 字符。
- 在“网关端点”部分中单击“添加”。
此时将显示“新建网关端点设置”对话框。
- 在“本地网关”部分中选择“按 IP 地址”。
- 在“按 IP 地址”文本框中输入站点 A XTM 设备的外部(公用)IP 地址。
- 从“外部接口 ”下拉列表中选择具有站点 A XTM 设备外部(公用)IP 地址的接口。
- 在“远程网关”部分中选择“静态 IP 地址”。
- 在“静态 IP 地址”文本框中键入站点 B XTM 设备的外部(公用)IP 地址。
- 选择“按 IP 地址”。
- 在“静态 IP 地址”文本框中键入站点 B XTM 设备的外部(公用)IP 地址。
- 单击“确定”关闭“新建网关端点设置”对话框。
网关端点列表中将显示已定义的网关对。
配置第 1 阶段设置
在 IPSec 连接的第 1 阶段中,两个对等方建立一个经过身份验证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。
- 选择“第 1 阶段设置”选项卡。
- 从“模式”下拉列表中选择“主模式”或“攻击性模式”。 确保您选择的设置与您在本主题顶部“BOVPN 隧道设置”中选择的一样。
由于两个端点都有静态 IP 地址,所以本示例使用了“主模式”。 如果一个端点有动态 IP 地址,则您必须使用攻击性模式。
- 选择“NAT 穿越”、“IKE 保持活动”或“ Dead Peer Detection (RFC3706)”。 确保您选择的值与您在“BOVPN 隧道设置”中选择的值一样。
- 在“转换设置”部分中,选择默认转换,然后单击“编辑”。
此时将显示“转换设置”对话框。
- 从“身份验证”和“加密”下拉列表中,选择您在“BOVPN 隧道设置”中所选的方法。
- 在“SA 有效期”文本框中键入您在“BOVPN 隧道设置”中选择的设置。 在下拉列表中选择“小时”。
- 在“密钥组”下拉列表中选择一个 Diffie-Hellman 组。
- 单击“确定”。 保持所有其他第 1 阶段设置的默认值不变。
- 单击” 保存”以关闭“网关”页面。
您添加的网关将会显示在 BOVPN 页面的“网关”列表中。
添加 VPN 隧道
- 单击“隧道”列表旁边的“添加”。
将显示“隧道”配置页面。
- 在“隧道名称”文本框中输入隧道的名称。
- 从“网关”下拉列表中选择刚创建的网关。
- 选择“地址”选项卡。
- 如果您想将此隧道添加至 BOVPN-Allow.in 和 BOVPN-Allow.out 策略,请选中“将此隧道添加至 BOVPN-Allow 策略”复选框。
这些策略允许与隧道路由匹配的所有流量。 如果要限制通过隧道的流量,请清除此复选框,并使用 BOVPN 策略向导为允许通过此隧道的各类型流量创建策略。
- 单击“添加”。
将显示“隧道路由设置”对话框。
- 在“本地 IP”部分,从“选择类型”下拉列表中选择本地地址的类型。
- 在“网络 IP”文本框中输入本地(专用)网络地址。
这是站点 B 的专用网络 IP 地址。
- 在“远程 IP”部分的“选择类型”下拉列表中,选择远程地址的类型。
- 在“网络 IP”文本框中输入远程(专用)网络地址。
这是站点 A 的专用网络地址。
- 从“方向”下拉列表中选择隧道的方向。 隧道方向决定了 VPN 隧道的哪个端点可以启动通过隧道的 VPN 连接。
- 单击“确定”。
在“隧道”设置页面的“地址”部分将会显示隧道路由。
配置第 2 阶段设置
第二阶段设置包括安全性关联 (SA) 的设置,它定义了当数据包在两个端点之间传递时,如何对其加以保护。 SA 会保留所有必要的信息,让 XTM 设备知道该如何处理端点之间的流量。
- 在“隧道”设置页面中单击“第 2 阶段设置”选项卡。
- 要启用 Perfect Forward Secrecy (PFS),请选中 PFS 复选框。
- 如果启用了 PFS,请在 PFS 下拉列表中选择正确的 Diffie-Hellman 组。
- XTM 设备包含一个默认方案,会显示在“IPSec 方案”列表中。 此方案指定 ESP 数据保护方法、AES 加密以及 SHA1 身份验证。 在此示例中,我们使用默认方案。 您可以:
- 单击“添加”以添加默认方案。
- 删除默认方案。 随后在下拉列表中选择不同的方案并单击“添加”。
- 添加另一个方案,添加方法请参阅“添加 第 2 阶段方案”。
- 单击“保存”。
您创建的隧道将显示在 BOVPN 页面的“隧道”列表中。
站点 B 的 XTM 设备现已配置完毕。
在隧道的两端都配置完成后,隧道会打开且流量会通过隧道。 如果隧道不工作,请检查两台 XTM 设备上您尝试启用隧道的时间段内的日志文件。 日志文件中有日志消息,这些消息可以指示故障在配置中的位置,以及哪些设置可能出现问题。 您也可以使用 Firebox System Manager 实时查看日志消息。