Apple Mac OS X 10.6 和 10.7,以及 iOS 设备(iPhone、iPad 和 iPod Touch)附带一个本机 Cisco IPSec VPN 客户端。 可使用此客户端将 IPSec VPN 连接到 XTM 设备。 要执行此操作,必须在 XTM 设备上配置 VPN 设置,以使其与 iOS 或 Mac OS X 设备上的对应设置相匹配。
对于 iOS 设备,可以安装 iOS 版 WatchGuard Mobile VPN 应用。 该应用可以将 Mobile VPN with IPSec 配置文件导入 iOS 设备上的本机 VPN 客户端。 对于 Mac OS X 设备,必须手动配置本机 VPN 客户端中的设置。
可以使用同一个 Mobile VPN with IPSec 配置文件从 iOS 和 Android 设备进行 VPN 连接。 有关如何在 Android 设备上配置 VPN 客户端的信息,请参阅搭配 Android 设备使用 Mobile VPN with IPSec。
用户无法配置 Mac OS X 或 iOS 设备上的 VPN 客户端中的很多 VPN 隧道配置设置。 将 XTM 设备上的设置配置为与 Mac OS X 或 iOS 设备上的 VPN 客户端所需的设置相匹配,这十分重要。
可以输入现有组的名称,也可以输入一个新名称建立新的 Mobile VPN 组。 确保该名称与其他 VPN 组名称不同,并与所有接口名称及 VPN 隧道名称不同。
既可以使用内部 XTM 设备数据库 (Firebox-DB) 对用户进行认证,也可以使用 RADIUS、VASCO、SecurID、LDAP 或 Active Directory Server 进行认证。 确保已启用此认证方法。
如果您创建了使用外部认证服务器进行认证的 Mobile VPN 用户组,请确保在该服务器上创建的组名称与在向导中添加的 Mobile VPN 组名称完全相同。 如果使用 Active Directory 作为认证服务器,则用户必须属于某个 Active Directory 安全组,并且该组必须与为 Mobile VPN with IPSec 配置的组同名。
有关详细信息,请参阅配置外部 认证服务器。
Mac OS X 或 iOS 设备上的 VPN 客户端随即配置为在 1 小时后重新生成密钥。 如果此配置文件仅用于通过 Mac OS X 或 iOS 设备上的 VPN 客户端的连接,则将 SA 有效期设置为 1 小时,以匹配客户端设置。
如果要将此 VPN 配置文件用于所有支持的 VPN 客户端,应将 SA 有效期设置为 8 小时。 将 SA 有效期设置为 8 小时时,Shrew Soft VPN 和 WatchGuard Mobile VPN with IPSec 客户端会在 8 小时后重新生成密钥,但是 OS X 或 iOS 设备上的 VPN 客户端会使用较小的重新生成密钥值,即 1 小时。
IP 地址的数量应该与 Mobile VPN 用户的数量相同。 虚拟 IP 地址不需要与可信任网络位于同一子网。 如果配置了 FireCluster,则必须为每个 Mobile VPN 用户添加两个虚拟 IP 地址。
虚拟 IP 地址池中的 IP 地址不能用于网络上的其他用途。
确保将所有 VPN 用户添加到所选的认证组。
有关如何将用户添加到 Firebox 用户组的信息,请参阅定义 要进行 Firebox 认证的新用户。
当 Mobile VPN 用户连接到您的网络时,会为其分配虚拟 IP 地址池中的 IP 地址。虚拟 IP 地址池中的 IP 地址数量应该与 Mobile VPN 用户数量相同。虚拟 IP 地址不需要与可信任网络位于同一子网。如果配置了 FireCluster,则必须为每个 Mobile VPN 用户添加两个虚拟 IP 地址。
虚拟 IP 地址池中的 IP 地址不能用于网络上的其他用途。
有两种方法可用于在 iOS 设备上配置 VPN 客户端。 可以使用 iOS 版 WatchGuard Mobile VPN 应用将 .wgm 最终用户配置文件导入 iOS 上的 VPN 客户端。 这是最简单的 iOS 设备配置方法。 如果没有在 iOS 设备上安装 WatchGuard Mobile VPN 应用,则可以手动为 VPN 客户端配置正确的设置以进行连接。
要使用 WatchGuard Mobile VPN 应用将 IPSec VPN 设置导入本机的 iOS VPN 客户端,请执行以下操作:
有关说明,请参阅生成 Mobile VPN with IPSec 配置文件。
要在 iOS 设备上手动配置 VPN 客户端设置,请执行以下操作:
添加 VPN 配置后,VPN 交换机会显示在 iOS 设备上的设置菜单中。 单击 VPN 交换机可以启用或禁用 VPN 客户端。 建立 VPN 连接后,VPN 图标会显示在状态栏中。
只有 iOS 设备正在使用时,iOS 设备上的 VPN 客户端才会保持与 VPN 的连接。 如果 iOS 设备自我锁定,VPN 客户端可能会断开连接。 用户可手动重新连接其 VPN 客户端。 如果用户保存了其密码,则无需在每次 VPN 客户端断开连接时重新键入密码。 否则他们必须在每次客户端断开连接时键入密码。
XTM 设备不会为 Mac OS X 设备上的 VPN 客户端生成客户端配置文件。 用户必须手动配置 VPN 客户端设置以匹配 XTM 设备上配置的设置。
要配置 Mac OS X 设备上的 VPN 设置:
应用这些设置后,会在 Mac OS X 设备的菜单栏中显示 VPN 状态图标。 单击 VPN 状态图标以启动或停止 VPN 客户端连接。