Mobile VPN with IPSec > 关于 Mobile VPN with IPSec > 修改现有的 Mobile VPN with IPSec 组配置文件

修改现有的 Mobile VPN with IPSec 组配置文件

创建 Mobile VPN with IPSec 组之后,您可以编辑配置文件,以:

配置 Mobile VPN with IPSec 组

  1. 选择 VPN > Mobile VPN with IPSec
    将显示 Mobile VPN with IPSec 页面。
  1. 选择要编辑的组,并单击编辑
    将显示 Mobile User VPN with IPSec 设置页面。
  1. 配置这些选项,以编辑组的配置文件:

认证服务器

选择要为此 Mobile VPN 组使用的认证服务器。 既可以使用内部 XTM 设备数据库 (Firebox-DB) 对用户进行认证,也可以使用 RADIUS、VASCO、SecurID、LDAP 或 Active Directory Server 进行认证。 确保已启用此认证方法。

密码短语

要更改加密 .wgx 文件的密码,请输入一个新密码。 该共享密钥必须仅使用标准 ASCII 字符。 如果使用证书进行认证,这就是该证书的 PIN。

确认

再次输入新密码。

输入此组中的 Mobile VPN 用户可以连接的主外部 IP 地址或域。 这可能是外部 IP 地址、备用外部 IP 地址或外部 VLAN。 对于 Drop-in 模式下的设备,使用分配给所有接口的 IP 地址。

备份

输入此组中的 Mobile VPN 用户可以连接的备份外部 IP 地址或域。 此备份 IP 地址是可选的。 如果添加备份 IP 地址,请确保它是分配给 XTM 设备外部接口或 VLAN 的 IP 地址。

会话超时

选择 Mobile VPN 会话可以保持活动状态的最长时间(单位为分钟)。

闲置超时

选择在 XTM 设备关闭闲置 Mobile VPN 会话前会话保持闲置状态的时间。 如果认证服务器没有返回指定的超时值,则该会话和闲置超时值将使用默认的超时值。 如果使用 XTM 设备作为认证服务器,则始终忽略该 Mobile VPN 组的超时设置,因为您已为每个 XTM 设备用户帐户设置了超时时间。

会话和闲置超时设置不能长于 SA 有效期字段中的值。

要设置这个值,请在 Mobile VPN with IPSec 设置对话框中选择 IPSec 隧道选项卡。 在第 1 阶段设置部分中单击高级。 默认值为 8 小时。

  1. 选择 IPSec 隧道选项卡。
  1. 配置以下选项编辑 IPSec 设置:

使用最终用户配置文件的密码作为预共享密钥

选择该设置,即可使用最终用户配置文件的密码作为隧道认证的预共享密钥。 该密码短语在密码短语部分中的常规选项卡上设置。 您必须在远程设备上使用相同的共享密钥,而且此共享密钥只能使用标准的 ASCII 字符。

使用证书

选择该选项,即可使用证书来执行隧道的认证。
有关详细信息,请参阅用于 Mobile VPN with IPSec 隧道认证的证书

CA IP 地址

如果选择使用证书,请输入已配置为证书颁发机构的 Management Server 的 IP 地址。

超时

如果使用证书,请输入在证书颁发机构没有响应时,Mobile VPN with IPSec 客户端停止尝试连接前所经过的时间(秒数)。 建议使用默认设置。

第 1 阶段设置

选择 Mobile VPN 隧道的认证和加密方法。

要配置高级设置,例如 NAT 穿越或密钥组,请单击高级按钮和定义 第 1 阶段高级设置

这些加密选项在列表中按照从最简单但最不安全到最复杂但最安全的顺序列出。

DES

3DES

AES(128 位)

AES(192 位)

AES(256 位)

第 2 阶段设置

选择 PFS (Perfect Forward Secrecy),即可启用 PFS 并设置 Diffie-Hellman 组。

要更改其他方案设置,请单击高级和定义高级第 2 阶段设置。

  1. 选择资源选项卡。
  1. 配置以下选项:

允许所有流量通过隧道

要通过 VPN 隧道发送所有 Mobile VPN 用户的 Internet 流量,请选中此复选框。
如果选中了此复选框,则 Mobile VPN 用户的 Internet 流量通过该 VPN 发送。 这样做更为安全,但网站访问会很慢。
如果不选中此复选框,则 Mobile VPN 用户的 Internet 流量将直接发送到 Internet。 这样做的安全性较低,但用户能够更快地浏览 Internet。

允许的资源列表

此列表包括了 Mobile VPN 组中的用户可用的网络资源。

要向网络资源列表添加 IP 地址或网络 IP 地址,请选择主机 IP网络 IP,键入地址,然后单击添加

要从资源列表中删除 IP 地址或网络 IP 地址,请选择一个资源并单击移除

如果编辑允许的资源,则仅会在该组的默认 Mobile VPN with IPSec 策略中自动更新资源列表, 而不会自动更新该组中任何其他 Mobile VPN with IPSec 策略的资源。 必须在 Mobile VPN with IPSec 策略中编辑允许的资源,并且根据需要进行更新。 有关详细信息,请参阅配置策略以筛选 Mobile VPN 流量

虚拟 IP 地址池

此列表显示了 Mobile VPN 用户通过隧道使用的内部 IP 地址。 任何网络设备或其他 Mobile VPN 组均不能使用这些地址。

要向虚拟 IP 地址池添加 IP 地址或网络 IP 地址,请选择主机 IP网络 IP,键入地址,然后单击添加

要从虚拟 IP 地址池删除主机或网络 IP 地址,请选择该主机或网络 IP 地址,并且单击移除

有关虚拟 IP 地址的详细信息,请参阅虚拟 IP 地址和 Mobile VPN

  1. 选择高级选项卡。
  1. 配置行管理设置:

连接模式

手动 — 在此模式下,如果 VPN 隧道停止工作,客户端不会尝试自动重启 VPN 隧道。 该选项为默认设置。

要重新启动 VPN 隧道,必须单击连接监视器中的连接按钮,或右键单击 Windows 桌面工具栏上的 Mobile VPN 图标,并且选择连接

自动 — 在此模式下,当计算机发送流量至可通过 VPN 连接到的目标时,客户端将尝试启动该连接。 如果 VPN 隧道停止工作,客户端还将尝试自动重启 VPN 隧道。

可变 — 在此模式下,客户端会尝试自动重启 VPN 隧道,直至单击断开连接。 断开连接后,客户端不会尝试再次重启 VPN 隧道,直至再次单击连接

非活动超时

如果将连接模式设置为自动可变,则在指定的持续时间中,Mobile VPN with IPSec 客户端软件不会尝试再次协商 VPN 连接。 非活动超时的最大值可为 65,535 秒。

默认的行管理设置为手动0 秒。 如果要更改其中任何一项设置,必须使用 .ini 文件来配置该客户端软件。

  1. 单击保存
    将显示 Mobile VPN with IPSec 页面。
  2. 单击保存

属于您所编辑的组的最终用户只有将正确的配置文件导入其 Mobile VPN with IPSec 客户端软件后,才能进行连接。 您必须生成配置文件,然后将其提供给这些最终用户。 

要为您已编辑的组生成这些最终用户配置文件:

  1. 选择 VPN > Mobile VPN with IPSec
    将显示 Mobile VPN with IPSec 页面。
  2. 单击生成

Fireware XTM Web UI 只能生成 .ini 或 .vpn 移动用户配置文件。 要生成 .wgx 文件,必须使用 Policy Manager。

请参阅

生成 Mobile VPN with IPSec 配置文件

提供反馈  •   获得支持  •   全部产品文件  •   知识库