我们建议您第一次使用 WatchGuard L2TP Setup Wizard 来设置 Mobile VPN with L2TP。 有关详细信息,请参阅使用 WatchGuard L2TP Setup Wizard。
要编辑 Mobile VPN with L2TP 配置,请执行以下操作:
如果设备配置中已包含一个使用主模式的 Branch Office VPN 网关和一个使用动态 IP 地址的远程网关,则不能在 Mobile VPN with L2TP 配置中启用 IPSec。 激活 Mobile VPN with L2TP 时,默认启用 L2TP 配置中的 IPSec 设置。 如果由于现有 Branch Office VPN 配置而无法启用 IPSec,则激活 Mobile VPN with L2TP 时,将显示警告消息。 可以选择在不使用 IPSec 的情况下启用 L2TP,但安全性较低,因此不建议这样做。
在
有关虚拟 IP 地址的详细信息,请参阅虚拟 IP 地址和 Mobile VPN。
要添加到虚拟 IP 地址池,请执行以下操作:
要从虚拟 IP 地址池中移除 IP 地址或地址范围,请执行以下操作:
在
可配置的设置如下:
保持活动超时
此设置指定 XTM 设备向 L2TP 发送“Hello”消息的频率。 默认值为 60 秒。
重新传送超时
此设置指定 XTM 设备等待确认消息的时长。 如果 XTM 设备在此时间范围内没有收到确认消息,则会重新传送消息。 默认值为 5 秒。
最大重试次数
此设置指定 XTM 设备重新传送消息的最大次数。 如果超过最大重试次数,XTM 设备会关闭连接。 默认值为 5。
最大传输单位 (MTU)
此设置指定通过 L2TP 隧道在 PPP 会话中接收的数据包的最大尺寸。 默认值为 1400 字节。
最大接收单位 (MRU)
此设置指定通过 L2TP 隧道在 PPP 会话中发送的数据包的最大尺寸。 默认值为 1400 字节。
在认证选项卡上,可配置认证服务器及授权用户和组。
要选择将要使用的认证服务器,请执行以下操作:
如果选择多个认证服务器,则使用非默认的认证服务器的用户必须在用户名中指定认证服务器或域。 有关详细信息和示例,请参阅从 L2TP VPN 客户端连接。
如果使用 Firebox-DB 进行认证,则必须使用默认创建的 L2TP 用户组。 可添加使用 Mobile VPN with L2TP 的其他组和用户的名称。 对于添加的每个组或用户,可以选择该组所在的认证服务器,或选择任意(如果该组位于多个认证服务器上)。 添加的组或用户名必须位于认证服务器上。 组和用户名区分大小写,并且必须与认证服务器上的名称完全匹配。
要配置用户和组以进行 Mobile VPN with L2TP 认证,请执行以下操作:
有关 L2TP 用户认证方法的详细信息,请参阅关于 L2TP 用户认证
添加用户或组并选择 Firebox-DB 作为认证服务器时,不会将此用户或组自动添加至 Firebox-DB。 请确保您添加的使用 Firebox-DB 认证的任意用户或组也已在 Firebox 认证设置中配置。 有关详细信息,请参阅将 XTM 设备配置为认证服务器。
Mobile VPN with L2TP 在启用或未启用 IPSec 的情况下均可运行。 使用 IPSec 的 L2TP 提供了强大的加密和认证方法。 不使用 IPSec 的 L2TP 不能提供强大的加密和认证方法。 我们建议您不要在 Mobile VPN with L2TP 配置中禁用 IPSec。
启用 Mobile VPN with L2TP 时,默认启用 IPSec。 您必须配置的唯一 IPSec 设置是认证的凭据方法。 其他 IPSec 第 1 阶段设置将设定为默认值。 Mobile VPN with L2TP 的默认第 1 阶段和第 2 阶段 IPSec 设置与 Branch Office VPN 中的默认第 1 阶段和第 2 阶段设置相似。 您可以更改它们,以与所使用的 L2TP 客户端的 IPSec 设置相匹配。 L2TP 客户端上的 IPSec 设置必须与 Mobile VPN with L2TP 配置中的设置相匹配。
启用 IPSec 后,必须在 IPSec 第 1 阶段设置中配置隧道认证方法。 请在 WatchGuard L2TP Setup Wizard 中或 IPSec 选项卡上配置隧道认证方法。
要配置 IPSec 隧道认证方法,请执行以下操作:
使用预共享密钥
键入共享密钥。 您必须使用 L2TP 客户端上 IPSec 设置中的同一预共享密钥。
使用 IPSec
从表格中选择要使用的证书。 您必须已将证书导入至 XTM 设备,才能使用此选项。
有关 IPSec 证书的详细信息,请参阅用于 Mobile VPN with L2TP 隧道认证的证书。
如果要为 iOS 版 WatchGuard Mobile VPN 应用生成配置,则必须选择使用预共享的密钥。 有关详细信息,请参阅配置 Mobile VPN with L2TP 以用于 iOS 设备。
默认 L2TP IPSec 配置包含一个默认转换集,该转换集显示在转换设置列表中。 用于指定 SHA-1 认证、3DES 加密和 Diffie-Hellman 组 2。
您可以:
在高级部分中,可配置 NAT 穿越和失效检测设置。
有关高级第 1 阶段设置的详细信息,请参阅配置 L2TP IPSec 第 1 阶段高级设置。
IPSec 第 2 阶段设置包括安全性关联 (SA) 设置,它定义了当数据包在两个端点之间传递时如何保护数据安全。 SA 会保留所有必要的信息,让 XTM 设备知道该如何处理端点之间的流量。 SA 中的参数包括:
配置第 2 阶段设置
Perfect Forward Secrecy 可为在会话中创建的密钥提供更多保护。 用 PFS 创建的密钥不是基于上一个密钥生成的。 即使在会话结束后上一密钥被泄露,新的会话密钥也是安全的。
系统默认禁用 PFS,因为许多 L2TP 客户端不支持它。 在 Mobile VPN with L2TP 配置中启用 PFS 之前,请确保您的 L2TP 客户端已启用 PFS。
有关 Diffie-Hellman 组的详细信息,请参阅关于 Diffie-Hellman 组。
激活 Mobile VPN with L2TP 时,Policy Manager 会自动创建两个策略来允许流量通过。 有关详细信息,请参阅关于 L2TP 策略。
配置 Mobile VPN with L2TP 后,可生成移动应用程序配置文件,以与适用于 iOS 设备的 WatchGuard Mobile VPN 应用配合使用。 请在移动客户端选项卡上执行此操作。 有关详细信息,请参阅生成并分发 L2TP 移动客户端配置文件。