要将 XTM 设备配置为接受 PPTP 连接,必须先激活并配置 Mobile VPN with PPTP 的设置。
Mobile VPN with PPTP 用户可以向 XTM 设备内部数据库进行认证,或用向 RADIUS 或 VACMAN Middleware Server 进行扩展认证作为向 XTM 设备认证的替代。 VACMAN Middleware Server 的使用说明与 RADIUS 服务器的使用说明相同。
要使用 Firebox 内部数据库,则不要选中为 PPTP 用户使用 RADIUS 认证复选框。
使用 RADIUS 或 VACMAN Middleware Server 进行认证:
要建立 PPTP 连接,用户必须是名为 PPTP 用户的组的成员。 用户通过认证后,XTM 设备将保留用户所属的所有组的列表。 在策略中使用这些组中的任意一个来控制该用户的流量。
有关如何配置 RADIUS 服务器以使用 Active Directory 数据库的信息,请参阅使用 Active Directory 用户和组为 Mobile VPN 用户配置 RADIUS 服务器认证。
美国本土版本的 Windows XP 已启用 128 位加密。 您可以从 Microsoft 获得 Windows 其他版本的强加密修补程序。
Mobile VPN with PPTP 同时支持多达 50 个用户。 XTM 设备从一组可用 IP 地址中为每个传入的 Mobile VPN 用户提供一个开放 IP 地址。 此操作将继续进行,直到使用了所有地址。 用户关闭会话后,地址会被放回可用组。 随后登录的用户会获取此地址。
有关虚拟 IP 地址的详细信息,请参阅虚拟 IP 地址和 Mobile VPN。
您必须配置两个或更多个 IP 地址,才能使 PPTP 正常运行。
如果使用 RADIUS 认证,您可以为 PPTP 隧道定义两个超时设置:
会话超时
用户可以向外部网络发送流量的最长时间。 如果将此字段设置为零 (0) 秒、分钟、小时或天,则不会使用任何会话超时,用户可以无限期保持连接状态。
闲置超时
闲置(没有任何流量经过外部网络接口)时,用户可以保持已通过认证状态的最长时间。 如果将此字段设置为零 (0) 秒、分钟、小时或天,则不会使用任何闲置超时,用户可以无限期保持闲置状态。
如果不使用 RADIUS 进行认证,则 PPTP 隧道使用您为各个 Firebox 用户设置的超时设置。 有关 Firebox 用户设置的详细信息,请参阅定义 要进行 Firebox 认证的新用户。
最大传输单位 (MTU) 或最大接收单位 (MRU) 大小作为 PPTP 参数的一部分发送到客户端以供在 PPTP 会话过程中使用。 不要更改 MTU 或 MRU 值,除非该更改将修复配置中的问题。 如果 MTU 或 MRU 值不正确,则会导致流量无法通过 PPTP VPN 传输。
要更改 MTU 或 MRU 值,请执行以下操作:
启用 Mobile VPN with PPTP 后,您必须配置策略,以允许 PPTP 用户访问网络资源。 有关说明,请参阅配置策略以允许 Mobile VPN with PPTP 流量。