Mobile VPN with IPSec > 对 Mac OSX 或 iOS 设备使用 Mobile VPN with IPSec

搭配 Mac OS X 或 iOS 设备使用 Mobile VPN with IPSec

Apple Mac OS X 10.6 和 10.7,以及 iOS 设备(iPhone、iPad 和 iPod Touch)附带一个本机 Cisco IPSec VPN 客户端。 可使用此客户端将 IPSec VPN 连接到 XTM 设备。 要执行此操作,必须在 XTM 设备上配置 VPN 设置,以使其与 iOS 或 Mac OS X 设备上的对应设置相匹配。

对于 iOS 设备,可以安装 iOS 版 WatchGuard Mobile VPN 应用。 该应用可以将 Mobile VPN with IPSec 配置文件导入 iOS 设备上的本机 VPN 客户端。 对于 Mac OS X 设备,必须手动配置本机 VPN 客户端中的设置。

可以使用同一个 Mobile VPN with IPSec 配置文件从 iOS 和 Android 设备进行 VPN 连接。 有关如何在 Android 设备上配置 VPN 客户端的信息,请参阅搭配 Android 设备使用 Mobile VPN with IPSec

配置 XTM 设备

用户无法配置 Mac OS X 或 iOS 设备上的 VPN 客户端中的很多 VPN 隧道配置设置。 将 XTM 设备上的设置配置为与 Mac OS X 或 iOS 设备上的 VPN 客户端所需的设置相匹配,这十分重要。

  1. 选择 VPN > Mobile VPN with IPSec
    将显示 Mobile VPN with IPSec 页面。
  2. 单击添加
    将显示 Mobile VPN with IPSec 设置页面。
  1. 组名称文本框中,键入 Mac OS X 或 iOS VPN 用户所属的认证组的名称。

可以输入现有组的名称,也可以输入一个新名称建立新的 Mobile VPN 组。 确保该名称与其他 VPN 组名称不同,并与所有接口名称及 VPN 隧道名称不同。

  1. 认证服务器下拉列表中选择一个认证服务器。

既可以使用内部 XTM 设备数据库 (Firebox-DB) 对用户进行认证,也可以使用 RADIUS、VASCO、SecurID、LDAP 或 Active Directory Server 进行认证。 确保已启用此认证方法。

如果您创建了使用外部认证服务器进行认证的 Mobile VPN 用户组,请确保在该服务器上创建的组名称与在向导中添加的 Mobile VPN 组名称完全相同。 如果使用 Active Directory 作为认证服务器,则用户必须属于某个 Active Directory 安全组,并且该组必须与为 Mobile VPN with IPSec 配置的组同名。
有关详细信息,请参阅配置外部 认证服务器

  1. 键入并确认用于此隧道的密码短语
  2. Firebox IP 地址部分,键入该组中的 Mobile VPN 用户可连接到的主外部 IP 地址或域名。
  3. 选择IPSec 隧道选项卡。
    将显示 IPSec 隧道设置。
  1. 确保选择了使用最终用户配置文件的密码短语作为预共享密钥
    该选项为默认设置。
  2. 身份验证下拉列表选择 SHA-1MD5
  3. 加密下拉列表中选择下列选项之一:
  4. 第 1 阶段设置部分中单击高级
    将显示第 1 阶段高级设置。
  1. SA 有效期设置为 1 小时

Mac OS X 或 iOS 设备上的 VPN 客户端随即配置为在 1 小时后重新生成密钥。 如果此配置文件仅用于通过 Mac OS X 或 iOS 设备上的 VPN 客户端的连接,则将 SA 有效期设置为 1 小时,以匹配客户端设置。

如果要将此 VPN 配置文件用于所有支持的 VPN 客户端,应将 SA 有效期设置为 8 小时。 将 SA 有效期设置为 8 小时时,Shrew Soft VPN 和 WatchGuard Mobile VPN with IPSec 客户端会在 8 小时后重新生成密钥,但是 OS X 或 iOS 设备上的 VPN 客户端会使用较小的重新生成密钥值,即 1 小时。

  1. 密钥组下拉列表选择 Diffie-Hellman 组 2
  2. 不要更改任何其他第 1 阶段高级设置。
  3. 单击返回到常规设置
  4. 第 2 阶段设置部分,清除 PFS 复选框。
  1. 第 2 阶段设置部分中单击高级
    将显示第 2 阶段高级设置。
  1. 身份验证下拉列表选择 SHA1MD5
  2. 加密下拉列表,选择 3DESAES(128 位)AES(256 位)
  3. 强制密钥过期设置中,将过期时间设置为 1 小时
  4. 强制密钥过期设置中,清除流量复选框。
  5. 选择资源选项卡。
  6. 选中允许所有流量通过隧道复选框。
    这会配置默认路由 VPN 的隧道。 Mac OS X 或 iOS 设备上的 VPN 客户端不支持拆分隧道。
  7. 虚拟 IP 地址池列表中,添加 Mobile VPN 用户通过隧道使用的内部 IP 地址。
    要向虚拟 IP 地址池添加 IP 地址或网络 IP 地址,请选择主机 IP网络 IP,键入地址,然后单击添加

IP 地址的数量应该与 Mobile VPN 用户的数量相同。 虚拟 IP 地址不需要与可信任网络位于同一子网。 如果配置了 FireCluster,则必须为每个 Mobile VPN 用户添加两个虚拟 IP 地址。

虚拟 IP 地址池中的 IP 地址不能用于网络上的其他用途。

  1. 单击保存

确保将所有 VPN 用户添加到所选的认证组。

有关如何将用户添加到 Firebox 用户组的信息,请参阅定义 要进行 Firebox 认证的新用户

当 Mobile VPN 用户连接到您的网络时,会为其分配虚拟 IP 地址池中的 IP 地址。虚拟 IP 地址池中的 IP 地址数量应该与 Mobile VPN 用户数量相同。虚拟 IP 地址不需要与可信任网络位于同一子网。如果配置了 FireCluster,则必须为每个 Mobile VPN 用户添加两个虚拟 IP 地址。

虚拟 IP 地址池中的 IP 地址不能用于网络上的其他用途。

配置 iOS 设备上的 VPN 客户端

有两种方法可用于在 iOS 设备上配置 VPN 客户端。 可以使用 iOS 版 WatchGuard Mobile VPN 应用将 .wgm 最终用户配置文件导入 iOS 上的 VPN 客户端。 这是最简单的 iOS 设备配置方法。 如果没有在 iOS 设备上安装 WatchGuard Mobile VPN 应用,则可以手动为 VPN 客户端配置正确的设置以进行连接。

要使用 WatchGuard Mobile VPN 应用将 IPSec VPN 设置导入本机的 iOS VPN 客户端,请执行以下操作:

  1. 从 Mobile VPN with IPSec 组生成 .wgm 配置文件。

有关说明,请参阅生成 Mobile VPN with IPSec 配置文件

  1. 将 .wgm 配置文件作为电子邮件附件发送给移动用户。
  2. 使用安全方式将密码提供给移动用户。
  3. 在 iOS 设备上,从 Apple App Store 安装免费的 WatchGuard Mobile VPN 应用。
  4. 在 iOS 设备上的电子邮件客户端中,打开包含 .wgm 文件附件的电子邮件。
  5. 打开 .wgm 文件附件。
    WatchGuard Mobile VPN 应用启动。
  6. 键入管理员提供的密码解密该文件。
    WatchGuard Mobile VPN 应用会导入配置,并在 iOS VPN 客户端中创建一个 IPSec VPN 连接文件。

要在 iOS 设备上手动配置 VPN 客户端设置,请执行以下操作:

  1. 选择设置 > 常规 > 网络 > VPN > 添加 VPN 配置
  2. 配置 VPN 客户端中的这些设置:

添加 VPN 配置后,VPN 交换机会显示在 iOS 设备上的设置菜单中。 单击 VPN 交换机可以启用或禁用 VPN 客户端。 建立 VPN 连接后,VPN 图标会显示在状态栏中。

只有 iOS 设备正在使用时,iOS 设备上的 VPN 客户端才会保持与 VPN 的连接。 如果 iOS 设备自我锁定,VPN 客户端可能会断开连接。 用户可手动重新连接其 VPN 客户端。 如果用户保存了其密码,则无需在每次 VPN 客户端断开连接时重新键入密码。 否则他们必须在每次客户端断开连接时键入密码。

在 Mac OS X 设备上配置 VPN 客户端

XTM 设备不会为 Mac OS X 设备上的 VPN 客户端生成客户端配置文件。 用户必须手动配置 VPN 客户端设置以匹配 XTM 设备上配置的设置。

要配置 Mac OS X 设备上的 VPN 设置:

  1. 打开系统首选项并选择网络
  2. 单击列表底部的 + 以添加新接口。 配置以下设置:
  3. 单击创建
    新 VPN 接口将在网络接口的列表中显示。
  4. 选择列表中的新接口。 编辑以下设置:
  5. 单击认证设置。 设置以下设置:
  6. 选中在菜单栏中显示 VPN 状态复选框,以将 VPN 状态图标添加到 OS X 菜单栏。
  7. 单击连接启动 VPN 隧道。

应用这些设置后,会在 Mac OS X 设备的菜单栏中显示 VPN 状态图标。 单击 VPN 状态图标以启动或停止 VPN 客户端连接。

请参阅

关于 Mobile VPN with IPSec

定义 第 1 阶段高级设置

定义第 2 阶段高级设置

提供反馈  •   获得支持  •   全部产品文件  •   知识库