Mobile VPN with IPSec > 关于 Mobile VPN with IPSec > 为 Mobile VPN with IPSec 配置 XTM 设备

为 Mobile VPN with IPSec 配置 XTM 设备

您可以为已经创建的组启用 Mobile VPN with IPSec,也可以创建一个新的用户组。 组中的用户既可以向 Firebox 进行认证,也可以向 Firebox 配置中所包括的第三方认证服务器进行认证。

配置 Mobile VPN with IPSec 组

  1. 选择 VPN > Mobile VPN with IPSec
    将显示 Mobile VPN with IPSec 页面。
  1. 单击添加
    将显示 Mobile User VPN with IPSec 设置页面。
  1. 组名称文本框中输入一个组名称。
    可以输入现有组的名称,也可以输入一个新名称建立新的 Mobile VPN 组。 确保该名称与其他 VPN 组名称不同,并与所有接口名称及 VPN 隧道名称不同。
  2. 配置以下设置,以编辑组的配置文件:

认证服务器

选择要为此 Mobile VPN 组使用的认证服务器。 既可以使用内部 XTM 设备数据库 (Firebox-DB) 对用户进行认证,也可以使用 RADIUS、VASCO、SecurID、LDAP 或 Active Directory Server 进行认证。 确保您选择的认证方法已启用。

密码短语

输入用于加密分发给此组用户的 Mobile VPN 配置文件(.wgx 文件)的密码。 该共享密钥必须仅使用标准 ASCII 字符。 如果使用证书进行认证,这就是该证书的 PIN。

确认

再次输入密码。

输入此组中的 Mobile VPN 用户可以连接的主外部 IP 地址。 这可能是外部 IP 地址、备用外部 IP 地址或外部 VLAN。 对于 Drop-in 模式下的设备,使用分配给所有接口的 IP 地址。

备份

输入此组中的 Mobile VPN 用户可以连接的备份外部 IP 地址。 此备份 IP 地址是可选的。 如果添加备份 IP 地址,请确保它是分配给 XTM 设备外部接口或 VLAN 的 IP 地址。

会话超时

选择 Mobile VPN 会话可以保持活动状态的最长时间(单位为分钟)。

闲置超时

选择在 XTM 设备关闭闲置 Mobile VPN 会话前会话保持闲置状态的时间。 如果认证服务器没有返回其自己的超时值,则该会话和闲置超时值将使用默认的超时值。 如果使用 Firebox 作为认证服务器,则始终忽略该 Mobile VPN 组的超时设置,因为您已为每个 Firebox 用户帐户设置了超时时间。

会话和闲置超时设置不能长于 SA 有效期字段中的值。
要设置这个值,请在 Mobile VPN with IPSec 设置对话框中,单击 IPSec 隧道选项卡,然后单击第 1 阶段设置高级。 默认值为 8 小时。

  1. 选择 IPSec 隧道选项卡。
    将打开 IPSec 隧道页面。
  1. 配置以下设置:

使用最终用户配置文件的密码作为预共享密钥

选择这个选项,即可用最终用户配置文件的密码作为隧道认证的预共享密钥。 您必须在远程设备上使用同一共享密钥。 此共享密钥只能使用标准 ASCII 字符。

使用证书

选择该选项,即可使用证书来执行隧道的认证。
有关详细信息,请参阅用于 Mobile VPN with IPSec 隧道认证的证书

CA IP 地址

如果使用证书,请输入已配置为证书颁发机构的 Management Server 的 IP 地址。

超时

如果使用证书,请输入在证书颁发机构没有响应时,Mobile VPN with IPSec 客户端停止尝试连接前所经过的时间(秒数)。 我们建议您保留默认值。

第 1 阶段设置

选择 VPN 隧道的认证和加密方法。 这些设置在两个 VPN 端点上必须相同。 要配置高级设置,例如 NAT 穿越或密钥组,请单击高级,并参阅定义 第 1 阶段高级设置

这些加密选项按照从最简单但最不安全到最复杂但最安全的顺序列出:

DES

3DES

AES(128 位)

AES(192 位)

AES(256 位)

第 2 阶段设置

选择 PFS (Perfect Forward Secrecy),即可启用 PFS 并设置 Diffie-Hellman 组。

要更改其他方案设置,请单击高级,并参阅定义第 2 阶段高级设置

  1. 选择资源选项卡。
    将显示资源页面。
  1. 配置以下设置:

允许所有流量通过隧道

要通过 VPN 隧道发送所有 Mobile VPN 用户的 Internet 流量,请选中此复选框。
如果选中了此复选框,则 Mobile VPN 用户的 Internet 流量通过该 VPN 发送。 这样做更为安全,但网络性能会下降。
如果不选中此复选框,则 Mobile VPN 用户的 Internet 流量将直接发送到 Internet。 这样做的安全性较低,但用户能够更快地浏览 Internet。

允许的资源列表

此列表包括了 Mobile VPN 认证组中的用户可以在网络上访问的资源。

要向网络资源列表添加 IP 地址或网络 IP 地址,请选择主机 IP网络 IP,键入地址,然后单击添加

要从资源列表中删除选定的 IP 地址或网络 IP 地址,请选择一个资源并单击删除

虚拟 IP 地址池

此列表包括了 Mobile VPN 用户通过隧道使用的内部 IP 地址。

要向虚拟 IP 地址池添加 IP 地址或网络 IP 地址,请选择主机 IP网络 IP,键入地址,然后单击添加

要从虚拟 IP 地址池中删除地址,请选择一个主机或网络 IP 地址并单击移除

虚拟 IP 地址池中的 IP 地址不能用于网络上的其他用途。

有关虚拟 IP 地址的详细信息,请参阅虚拟 IP 地址和 Mobile VPN

  1. 选择高级选项卡。
    将显示高级页面。
  1. 配置行管理设置:

连接模式

手动 — 在此模式下,如果 VPN 隧道停止工作,客户端不会尝试自动重启 VPN 隧道。 该选项为默认设置。

要重新启动 VPN 隧道,必须单击连接监视器中的连接按钮,或右键单击 Windows 桌面工具栏上的 Mobile VPN 图标,并且单击连接

自动 — 在此模式下,当计算机发送流量至可通过 VPN 连接到的目标时,客户端将尝试启动该连接。 如果 VPN 隧道停止工作,客户端还将尝试自动重启 VPN 隧道。

可变 — 在此模式下,客户端会尝试自动重启 VPN 隧道,直至单击断开连接。 断开连接后,客户端不会尝试再次重新启动 VPN 隧道,直至单击连接

非活动超时

如果连接模式设置为自动可变,则 Mobile VPN with IPSec 客户端软件不会尝试重新协商该 VPN 连接,直至在输入的非活动超时期间,一直没有来自网络资源的可用流量通过该隧道。

默认的行管理设置为手动0 秒。 如果要更改其中任何一项设置,必须使用 .ini 文件来配置该客户端软件。

  1. 单击保存
    此时会打开 Mobile VPN with IPSec 页面,这个新的 IPSec 组会出现在组列表中。
  2. 单击保存

您所创建的组的成员用户只有将正确的配置文件导入其 Mobile VPN with IPSec 客户端软件后,才能进行连接。 您必须生成配置文件,然后将其提供给这些最终用户。 

要为您已编辑的组生成这些最终用户配置文件:

  1. 选择 VPN > Mobile VPN with IPSec
    将显示 Mobile VPN with IPSec 页面。
  2. 客户端下拉列表中选择 VPN 客户端。
  3. 单击生成

Fireware XTM Web UI 只能生成 .ini 和 .vpn 移动用户配置文件。 要生成 .wgx 文件,必须使用 Policy Manager。

请参阅

生成 Mobile VPN with IPSec 配置文件

提供反馈  •   获得支持  •   全部产品文件  •   知识库