Branch Office VPN > Branch Office VPN 示例 > WatchGuard VPN 互操作性(Fireware XTM v11.x 到 Edge v10.x)

WatchGuard VPN 互操作性(Fireware XTM 11.x 版到 Edge 10.x 版)

对于网络以及主机和网络的组合来说,Branch Office Virtual Private Network (BOVPN) 隧道是通过 Internet 交换数据的安全方式。 本主题告诉您如何定义手动 BOVPN 隧道。

本主题不会详细说明 BOVPN 对话框中的不同设置以及它们如何影响现有的隧道。 如果您希望了解有关特定设置的更多信息,请参阅:

收集 IP 地址和隧道设置

要创建手动 BOVPN 隧道,您必须首先收集 IP 地址并确定端点的设置。 为了帮助您进行配置,您可以打印本文档,记下或标明您需要使用的值,随后在您配置 Policy Manager 中的设置时参考这些内容。

在此主题中,两个端点都必须有静态外部 IP 地址。

有关连接到使用动态外部 IP 地址的设备的 BOVPN 隧道的信息,请参阅定义网关端点

如果您只是两台设备中一台的管理员,您可以把此表交给另一位管理员,以确保他/她为第 1 阶段和第 2 阶段设置使用的值与您所用的完全相同。

确保您正确配置 VPN 端点,且两台设备的第 1 阶段和第 2 阶段设置相同。 如果设置不匹配则不能建立隧道。

如果某个设置未显示在此列表中,请不要更改其默认值。

BOVPN 隧道设置

站点 A(使用 Fireware XTM v11.x 的 XTM 设备)

公用 IP 地址: ______________________________

专用 IP 地址: _____________________________

站点 B(使用 Edge v10.x 的 Firebox X Edge e-Series)

公用 IP 地址: ______________________________

专用 IP 地址: _____________________________

第 1 阶段设置(两端使用的值必须完全相同)

我们建议您选择“IKE 保持活动”或“Dead Peer Detection (RFC3706)”。 不要同时选择两者。 如果两台端点设备都支持“Dead Peer Detection”,请选择该设置。 如果两个端点都是 Firebox 或 XTM 设备但是其中一个不支持“Dead Peer Detection”,请选择“IKE 保持活动”。 IKE 保持活动仅被用于 Firebox 或 XTM 设备。 如果其中一个端点是第三方设备,请不要选择“IKE 保持活动”。

凭据方法: 选择“使用预共享的密钥”。

模式(选择一个): 主模式____ 攻击性模式____

预共享的密钥: ______________________________

NAT 穿越: 是 ____ 否 ____

NAT 穿越保持活动间隔: ________________

IKE 保持活动: 是 ____ 否 ____

IKE 保持活动消息间隔: ________________

IKE 保持活动最大失败数: ________________

Dead Peer Detection (RFC3706): 是 ____ 否 ____

Dead Peer Detection 流量闲置超时: ________________

Dead Peer Detection 最大重试次数: ________________

身份验证算法(选择一个): SHA1____ MD5____

加密算法(选择一个): DES____ 3DES____ AES-128____ AES-192____ AES-256____

SA 有效期 ________________

选择用“小时”作为 SA 有效期的单位。

Diffie-Hellman 组(选择一个): 1____ 2____ 5____

第 2 阶段设置(两端使用的值必须完全相同)

类型: AH ____ ESP ____

身份验证算法(选择一个): 无____ MD5____ SHA1____

加密算法(选择一个): DES____ 3DES____ AES-128____ AES-192____ AES-256____

强制密钥过期(选择一个): 启用____ 禁用____

Perfect Forward Secrecy(Diffie-Hellman 组): 禁用____ 组 1____ 组 2____ 组 5____

第 2 阶段密钥到期时间(小时)

第 2 阶段密钥到期时间(千字节)

隧道设置示例

本页面中的字段与前一页面中的字段完全相同,但是其中填写了示例设置。 这些设置与本文档所用屏幕截图中所显示的设置相对应。

站点 A(使用 Fireware XTM v11.x 的 XTM 设备)

公用 IP 地址: 50.50.50.50

专用网络 IP 地址: 10.0.50.1/24

站点 B(使用 Edge v10.x 的 Firebox X Edge e-Series)

公用 IP 地址: 100.100.100.100

专用网络 IP 地址: 192.168.100.1/24

第 1 阶段设置(两端使用的值必须完全相同)

凭据方法: 选择“使用预共享的密钥”。

模式(选择一个): 主模式

预共享的密钥: SiteA2SiteB

NAT 穿越: 是

NAT 穿越保持活动间隔: 20 秒

IKE 保持活动: 否

IKE 保持活动消息间隔:无

IKE 保持活动最大失败数:无

Dead Peer Detection (RFC3706): 是

Dead Peer Detection 流量闲置超时: 20 秒

Dead Peer Detection 最大重试次数: 5

身份验证算法(选择一个): SHA1

加密算法(选择一个): 3DES

SA 有效期: 8

选择用“小时”作为 SA 有效期的单位。

Diffie-Hellman 组(选择一个): 2

第 2 阶段设置(两端使用的值必须完全相同)

类型: 封装安全负载 (ESP)

身份验证算法(选择一个): SHA1

加密算法(选择一个): AES(256 位)

强制密钥过期(选择一个): 启用

Perfect Forward Secrecy(Diffie-Hellman 组): 禁用

第 2 阶段密钥到期时间(小时): 8

第 2 阶段密钥到期时间(千字节): 128000

如果您使用 WSM 11.x 版和 Edge 10.2.2 或更高版本,则第 1 阶段和第 2 阶段设置示例与默认设置相同。 此外,这些示例也与 WSM 10.2.2 及更高版本的默认设置相同。 但是,它们与 WSM 或 Edge 软件任何其他版本的设置都不相同。

配置站点 A,Fireware 11.x

添加 VPN 网关:

  1. 选择“VPN”>“BOVPN”。
    将显示 BOVPN 配置页面,其顶部为“网关”列表。
  1. 要添加网关,请在“网关”列表旁单击“添加”。
    将显示网关设置页面。
  1. 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
  2. 选择“常规设置”选项卡。
  3. 在“凭据方法” 部分中选择“使用预共享的密钥”。 键入共享密钥。
    该共享密钥必须仅使用标准 ASCII 字符。
  4. 在“网关端点”部分中单击“添加”。
    将显示“新建网关端点设置”对话框。
  1. 在“本地网关”部分中选择“按 IP 地址”。
  2. 在“按 IP 地址”文本框中输入站点 A XTM 设备的外部(公用)IP 地址。
  3. 从“外部接口” 下拉列表中选择具有站点 A XTM 设备的外部(公用)IP 地址的接口。
  4. 在“远程网关”部分中选择“静态 IP 地址”。
  5. 在“IP 地址”文本框中输入站点 B Firebox 的外部(公用)IP 地址。
  6. 选择“按 IP 地址”。
  7. 在“按 IP 地址”文本框中输入站点 B Firebox 的外部(公用)IP 地址。
  8. 单击“确定”关闭“新建网关端点设置”对话框。
    网关端点列表中将显示已定义的网关对。

配置第 1 阶段设置

在 IPSec 连接的第 1 阶段中,两个对等方建立一个经过身份验证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。

  1. 单击“第 1 阶段设置”选项卡。
  1. 从“模式”下拉列表中选择“主模式”或“攻击性模式”。 确保您选择的设置与您在本主题上部“BOVPN 隧道设置”中选择的一样。
    由于两个端点都有静态 IP 地址,所以本示例使用了“主模式”。 如果一个端点有动态 IP 地址,则您必须使用攻击性模式。
  2. 选择“NAT 穿越”、“IKE 保持活动”或“ Dead Peer Detection (RFC3706)”。 确保您选择的值与您在“BOVPN 隧道设置”中选择的值一样。

对于 XTM 设备和 Edge v10.2.2 或更高版本之间的 BOVPN 隧道,我们建议您选择“NAT 穿越”和“Dead Peer Detection”。

  1. 在“转换设置” 部分中,选择默认转换并单击“编辑”。
  1. 在“身份验证”和“加密”下拉列表中,选择您在“BOVPN 隧道设置”中选择的方法。
  2. 在“SA 有效期”文本框中,输入您在“BOVPN 隧道设置”中选择的设置。 从下拉列表中选择“小时”。
  3. 从“密钥组”下拉列表中选择一个 Diffie-Hellman 组。
  4. 单击“确定”。 保持所有其他第 1 阶段设置的默认值不变。
  5. 单击“保存 ”关闭“网关”页面。
    您添加的网关出现在 BOVPN 页面的“网关”列表中。

添加 VPN 隧道

定义网关后,您就可以在这些网关之间创建隧道。 创建隧道时您必须指定:

添加 VPN 隧道:

  1. 单击“隧道”列表旁边的“添加”。
    将显示“隧道”配置页面。
  1. 在“隧道名称”文本框中输入隧道的名称。
  2. 从“网关”下拉列表中选择刚创建的网关。
  3. 选择“地址”选项卡。
  4. 要向 BOVPN-Allow.in 和 BOVPN-Allow.out 策略中添加隧道,请在“地址”选项卡中选中“将此隧道添加至 BOVPN-Allow 策略”复选框。

这些策略允许与隧道路由匹配的所有流量。 如果要限制通过隧道的流量,请清除此复选框,并使用 BOVPN 策略向导为允许通过此隧道的各类型流量创建策略。

  1. 在“地址 ”部分中单击“添加”。
    将显示“隧道路由设置”对话框。
  1. 在“本地 IP”部分,从“选择类型”下拉列表中选择本地地址的类型。
  2. 在“网络 IP”文本框中,输入本地(专用)网络地址。
    这是站点 A 的专用网络 IP 地址。
  3. 在“远程 IP”部分,从“选择类型”下拉列表中选择远程地址的类型。
  4. 在“网络 IP”文本框中,输入远程(专用)网络地址。
    这是站点 B 的专用网络地址。
  5. 从“方向”下拉列表中选择隧道的方向。 隧道方向决定了 VPN 隧道的哪个端点可以启动通过隧道的 VPN 连接。
  6. 单击“确定”。
    隧道路由显示在“隧道”设置页面的“地址”部分。

配置第 2 阶段设置

第二阶段设置包括安全性关联 (SA) 的设置,它定义了当数据包在两个端点之间传递时,如何对其加以保护。 SA 保留所有必要的信息,使 XTM 设备知道它应该如何对端点之间的流量进行处理。

  1. 在“隧道”设置页面上,选择“第 2 阶段设置”选项卡。
  1. 要启用 Perfect Forward Secrecy (PFS),请选中 PFS 复选框。
  2. 如果启用了 PFS,请从 PFS 下拉列表中选择正确的 Diffie-Hellman 组。
  3. XTM 设备包含一个默认方案,显示在“IPSec 方案”列表中。 此方案指定 ESP 数据保护方法、AES 加密以及 SHA1 身份验证。 在此示例中,我们使用默认方案。 您可以:
  1. 单击“保存”。
    您创建的隧道将显示在 BOVPN 页面的“隧道”列表中。

站点 A 的 XTM 设备现在已配置完毕。

配置站点 B,Edge 10.x 版

您现在要配置拥有 Firebox X Edge 的站点的网关。

要连接至“系统状态”页面,请在浏览器地址栏中输入 https:// 以及

  1. 打开 Web 浏览器。
  2. 在地址栏中输入 https:// [Firebox X Edge 可信任接口的 IP 地址]
    默认 IP 地址为: 192.168.111.1.
    将显示“系统状态”页面。
  3. 选择“VPN”>“Manual VPN”。
    将显示“Manual VPN”页面。
  1. 单击“添加”。
    将显示“添加网关”页面。
  1. 在“名称”文本框中输入 IPSec 隧道的名称。 使用标准 ASCII 字符且不留空格。
    这不需要与 Fireware Firebox 中的隧道名称相匹配。
  2. 从“凭据方法”下拉列表中选择“共享密钥”。
  3. 在“共享密钥”文本框中,输入您在站点 A 配置中使用的共享密钥。

配置第 1 阶段设置

  1. 从“模式”下拉列表中选择“主模式”或“攻击性模式”。 确保您选择的设置与您在本主题上部“BOVPN 隧道设置”中选择的一样。
  2. 在“本地 ID”文本框中,输入 Edge 的公用 IP 地址。
  3. 从“类型”下拉列表中选择“IP 地址”。
  4. 在“远程网关配置 部分”中,从“类型”下拉列表中选择“IP 地址”。
  5. 在“远程网关 IP”和“远程 ID”列文本框中,输入站点 A XTM 设备的公用 IP 地址。
  6. 单击“添加”。
  7. 在“身份验证算法”和“加密算法”下拉列表中,选择您在本主题上部“BOVPN 隧道设置”中所选的算法。
  8. 在“协商过期剩余时间”文本框中,输入千字节数和小时数。
  9. 从“Diffie-Hellman 组”下拉列表中选择“1”、“2”或“5”。
  10. 选择“发送 IKE 保持活动消息”或“启用 Dead Peer Detection”。 确保您选择的值与您在本主题上部“BOVPN 隧道设置”中选择的值一样。

配置第 2 阶段设置

  1. 从“身份验证算法”和“加密算法”下拉列表中,选择您在“BOVPN 设置”页面中所选的算法。
  2. 不要选中“为 IPSec 启用 TOS”复选框。
  3. 不要选中“启用 Perfect Forward Secrecy”复选框。
  4. 在“密钥过期还剩余”文本字段中,输入“千字节”数和“小时”数。
  5. 在“本地网络”文本框中,输入站点 B 的 Firebox X Edge 的专用网络 IP 地址。
  6. 在“远程网络”文本框中,输入站点 A 的专用网络 IP 地址。
  7. 单击“添加”。
  8. 要将所有设置保存到 Edge 配置中,单击“提交”。

配置 VPN 保持活动

要在没有连接通过 VPN 隧道时使其保持打开状态,可以将隧道另一端的计算机 IP 地址用作回应主机。 Firebox X Edge 每分钟发送一个 ping 到指定的主机。 使用始终在线并且可以响应 ping 消息的主机 IP 地址。 您也可以使用多个 IP 地址,以便 Firebox X Edge 通过不同的隧道向多个主机发送 ping。

  1. 打开 Web 浏览器。
  2. 在地址栏中输入 https:// [Firebox X Edge 可信任接口的 IP 地址]
    默认 IP 地址为: 192.168.111.1.
    将显示“系统状态”页面。
  3. 选择“VPN”>“VPN 保持活动”。
    此时将会显示“VPN 保持活动”页面。 
  1. 在“主机地址”文本框中,输入回应主机的 IP 地址。
  2. 单击“添加”。
  3. 重复步骤 3–4 添加其他回应主机。
  4. 单击“提交”。

站点 B 的 Firebox X Edge 现已完成配置。

在隧道的两端都配置完成后,隧道会打开且流量会通过隧道。 如果隧道不工作,请检查 XTM 设备和 Firebox X Edge 上您尝试启用隧道的时间段内的日志文件。 日志文件中有日志消息,这些消息可以指示故障在配置中的位置,以及哪些设置可能出现问题。 您也可以使用 Firebox System Manager 或在 Edge 的“日志记录”页面上实时查看 XTM 设备的日志消息。

提供反馈  •   获得支持  •   全部产品文件  •   知识库