Branch Office VPN > Branch Office VPN 示例 > WatchGuard 的 VPN 互操作性(Fireware XTM 到 Fireware XTM)

WatchGuard 的 VPN 互操作性(Fireware XTM 到 Fireware XTM)

对于网络以及主机和网络的组合来说,Branch Office Virtual Private Network (BOVPN) 隧道是通过 Internet 交换数据的安全方式。 本主题告诉您如何定义手动 BOVPN 隧道。

本主题不会详细说明 BOVPN 对话框中的不同设置以及它们如何影响现有的隧道。 如果您希望了解有关特定设置的更多信息,请参阅:

收集 IP 地址和隧道设置

要创建手动 BOVPN 隧道,您必须首先收集 IP 地址并确定端点的设置。 为了帮助您进行配置,您可以打印本文档,记下或标明您需要使用的值,随后在您配置 Policy Manager 中的设置时参考这些内容。

在此主题中,两个端点都必须有静态外部 IP 地址。

有关连接到使用动态外部 IP 地址的设备的 BOVPN 隧道的信息,请参阅“定义网关端点”。

如果您只是两台设备中一台的管理员,您可以把此表交给另一位管理员,以确保他/她为第 1 阶段和第 2 阶段设置使用的值与您所用的完全相同。

确保您正确配置 VPN 端点,且两台设备的第 1 阶段和第 2 阶段设置相同。 如果设置不匹配则不能建立隧道。

如果某个设置未显示在此列表中,请不要更改其默认值。

BOVPN 隧道设置

站点 A(使用 Fireware XTM v11.x 的 XTM 设备)

公用 IP 地址: ______________________________

专用 IP 地址: _____________________________

站点 B(使用 Fireware XTM v11.x 的 XTM 设备)

公用 IP 地址: ______________________________

专用 IP 地址: _____________________________

第 1 阶段设置(两端使用的值必须完全相同)

对于两台使用 Fireware XTM 的 Firebox 或 XTM 设备之间的 BOVPN 隧道,建议您选择“Dead Peer Detection (RFC3706)”,而不要选择“IKE 保持活动”。 不要同时选择两者。 如果两台端点设备都支持Dead Peer Detection,应始终选择该设置。

凭据方法: 选择“使用预共享的密钥”。

模式(选择一个): 主模式____ 攻击性模式____

预共享的密钥: ______________________________

NAT 穿越: 是 ____ 否 ____

NAT 穿越保持活动间隔: ________________

IKE 保持活动: 是 ____ 否 ____

IKE 保持活动消息间隔: ________________

IKE 保持活动最大失败数: ________________

Dead Peer Detection (RFC3706): 是 ____ 否 ____

Dead Peer Detection 流量闲置超时: ________________

Dead Peer Detection 最大重试次数: ________________

身份验证算法(选择一个): SHA1____ MD5____

加密算法(选择一个): DES____ 3DES____ AES-128____ AES-192____ AES-256____

SA 有效期 ________________

选择用“小时”作为 SA 有效期的单位。

Diffie-Hellman 组(选择一个): 1____ 2____ 5____

第 2 阶段设置(两端使用的值必须完全相同)

类型: AH ____ ESP ____

身份验证算法(选择一个): 无____ MD5____ SHA1____

加密算法(选择一个): DES____ 3DES____ AES-128____ AES-192____ AES-256____

强制密钥过期(选择一个): 启用____ 禁用____

Perfect Forward Secrecy(Diffie-Hellman 组): 禁用____ 组 1____ 组 2____ 组 5____

第 2 阶段密钥到期时间(小时)________________

第 2 阶段密钥到期时间(千字节)________________

隧道设置示例

本页面与上一页所含字段相同,并且包含设置示例。 这些设置对应于本例中图片上显示的设置。

站点 A(使用 Fireware XTM v11.x 的 XTM 设备)

公用 IP 地址: 50.50.50.50

专用网络 IP 地址: 10.0.50.1/24

站点 B(使用 Fireware XTM v11.x 的 XTM 设备)

公用 IP 地址: 100.100.100.100

专用网络 IP 地址: 192.168.100.1/24

第 1 阶段设置(两端使用的值必须完全相同)

凭据方法: 选择“使用预共享的密钥”。

模式(选择一个): 主模式

预共享的密钥: SiteA2SiteB

NAT 穿越: 是

NAT 穿越保持活动间隔: 20 秒

IKE 保持活动: 否

IKE 保持活动消息间隔:无

IKE 保持活动最大失败数:无

Dead Peer Detection (RFC3706): 是

Dead Peer Detection 流量闲置超时: 20 秒

Dead Peer Detection 最大重试次数: 5

身份验证算法(选择一个): SHA1

加密算法(选择一个): 3DES

SA 有效期: 8

选择用“小时”作为 SA 有效期的单位。

Diffie-Hellman 组(选择一个): 2

第 2 阶段设置(两端使用的值必须完全相同)

类型: 封装安全负载 (ESP)

身份验证算法(选择一个): SHA1

加密算法(选择一个): AES(256 位)

强制密钥过期(选择一个): 启用

Perfect Forward Secrecy(Diffie-Hellman 组): 禁用

第 2 阶段密钥到期时间(小时): 8

第 2 阶段密钥到期时间(千字节): 128000

如果您使用的是 WSM v11.x,那么第 1 阶段和第 2 阶段设置的示例就是您的默认设置, 它们也与 WSM v10.2.2 及更高版本、Edge v10.2.2 及更高版本的默认设置匹配。

配置站点 A (Fireware XTM v11.x)

现在于站点 A 上配置网关,该站点具有使用 Fireware XTM v11.x 的 XTM 设备。 网关是一个或多个隧道的连接点。 要配置网关,您需要指定:

添加 VPN 网关:

  1. 选择“VPN”>“Branch Office VPN”。
    此时将显示“Branch Office VPN”配置页面,其顶部为“网关”列表。
  2. 要添加网关,请在“网关”列表旁单击“添加”。
    将显示网关设置页面。
  1. 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
  2. 选择“常规设置”选项卡。
  3. 在“凭据方法 ”部分中选择“使用预共享的密钥”。 键入共享密钥。
    该共享密钥必须仅使用标准 ASCII 字符。
  4. 在“网关端点”部分中单击“添加”。

    此时将显示“新建网关端点设置”对话框。
  1. 在“本地网关”部分中选择“按 IP 地址”。
  2. 在“按 IP 地址”文本框中输入站点 A XTM 设备的外部(公用)IP 地址。
  3. 从“外部接口 ”下拉列表中选择具有站点 A XTM 设备外部(公用)IP 地址的接口。
  4. 在“远程网关”部分中选择“静态 IP 地址”。
  5. 在“静态 IP 地址”文本框中键入站点 B XTM 设备的外部(公用)IP 地址。
  6. 选择“按 IP 地址”。
  7. 在“按 IP 地址”文本框中输入站点 B XTM 设备的外部(公用)IP 地址。
  8. 单击“确定”关闭“新建网关端点设置”对话框。
    “网关端点”列表中将显示已定义的网关对。

配置第 1 阶段设置

在 IPSec 连接的第 1 阶段中,两个对等方建立一个经过身份验证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。

  1. 单击“第 1 阶段设置”选项卡。
  1. 从“模式”下拉列表中选择“主模式”或“攻击性模式”。 确保您选择的设置与您在本主题顶部“BOVPN 隧道设置”中选择的一样。
    由于两个端点都有静态 IP 地址,所以本示例使用了“主模式”。 如果一个端点有动态 IP 地址,则您必须使用攻击性模式。
  2. 选择“NAT 穿越”、“IKE 保持活动”或“ Dead Peer Detection (RFC3706)”。 确保您选择的值与您在“BOVPN 隧道设置”中选择的值一样。

对于 XTM 设备与使用 Fireware 10.2.2 或更高版本的 Firebox 之间的 BOVPN 隧道,我们建议您选择“NAT 穿越”和“Dead Peer Detection”。

  1. 在“转换设置 ”部分中,选择默认转换,然后单击“编辑”。
  1. 从“身份验证”和“加密”下拉列表中,选择您在“BOVPN 隧道设置”中选择的方法。
  2. 在“SA 有效期”文本框中,输入您在“BOVPN 隧道设置”中选择的设置。 在下拉列表中选择“小时
  3. 从“密钥组”下拉列表中选择一个 Diffie-Hellman 组。
  4. 单击“确定”。 保持所有其他第 1 阶段设置的默认值不变。
  5. 单击“ 保存”以关闭“网关”页面。
    您添加的网关将会显示在“BOVPN”页面的“网关”列表中。

添加 VPN 隧道

定义网关后,您就可以在这些网关之间创建隧道。 创建隧道时您必须指定:

添加 VPN 隧道:

  1. 单击“隧道”列表旁边的“添加”。
    将显示“隧道”配置页面。
  1. 在“隧道名称”文本框中输入隧道的名称。
  2. 在“网关”下拉列表中选择您创建的网关。
  3. 要向 BOVPN-Allow.in 和 BOVPN-Allow.out 策略中添加隧道,请在“地址”选项卡中选中“将此隧道添加至 BOVPN-Allow 策略”复选框。

这些策略允许与隧道路由匹配的所有流量。 如果要限制通过隧道的流量,请清除此复选框,并使用 BOVPN 策略向导为允许通过此隧道的各类型流量创建策略。

  1. 在“地址” 部分中单击“添加”。
    将显示“隧道路由设置”对话框。
  1. 在“本地 IP”部分,从“选择类型”下拉列表中选择本地地址的类型。
  2. 在“网络 IP”文本框中输入本地(专用)网络地址。
    这是站点 A 的专用网络 IP 地址。
  3. 在“远程 IP”部分的“选择类型”下拉列表中,选择远程地址的类型。
  4. 在“网络 IP”文本框中输入远程(专用)网络地址。
    这是站点 B 的专用网络地址。
  5. 从“方向”下拉列表中选择隧道的方向。 隧道方向决定了 VPN 隧道的哪个端点可以启动通过隧道的 VPN 连接。
  6. 单击“确定”。
    隧道路由显示在“隧道”设置页面的“地址”部分。

配置第 2 阶段设置

第二阶段设置包括安全性关联 (SA) 的设置,它定义了当数据包在两个端点之间传递时,如何对其加以保护。 SA 保留所有必要的信息,让 Firebox 可以知道它应该如何对端点之间的流量进行处理。

  1. 在“隧道”设置页面中单击“第 2 阶段设置”选项卡。
  1. 要启用 Perfect Forward Secrecy (PFS),请选中 PFS 复选框。
  2. 如果启用了 PFS,请在 PFS 下拉列表中选择正确的 Diffie-Hellman 组。
  3. XTM 设备包含一个默认方案,显示在“IPSec 方案”列表中。 此方案指定 ESP 数据保护方法、AES 加密以及 SHA1 身份验证。 在此示例中,我们使用默认方案。 您可以:
  1. 单击“保存”。
    您创建的隧道将显示在 BOVPN 页面的“隧道”列表中。

站点 A 的 XTM 设备现在已配置完毕。

配置站点 B (Fireware XTM v11.x)

现在于站点 B 上配置网关,该站点具有使用 Fireware v11.x 的 XTM 设备。

添加 VPN 网关:

  1. 选择“VPN”>“Branch Office VPN
    将显示 BOVPN 配置页面,其顶部为“网关”列表。
  1. 要添加网关,请单击“添加”。
    将显示网关设置页面。
  1. 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
  2. 选择“常规设置”选项卡。
  3. 在“凭据方法 ”部分中选择“使用预共享的密钥”。 键入共享密钥。
    该共享密钥必须仅使用标准 ASCII 字符。
  4. 在“网关端点”部分中单击“添加”。

    此时将显示“新建网关端点设置”对话框。
  1. 在“本地网关”部分中选择“按 IP 地址”。
  2. 在“按 IP 地址”文本框中输入站点 A XTM 设备的外部(公用)IP 地址。
  3. 从“外部接口 ”下拉列表中选择具有站点 A XTM 设备外部(公用)IP 地址的接口。
  4. 在“远程网关”部分中选择“静态 IP 地址”。
  5. 在“静态 IP 地址”文本框中键入站点 B XTM 设备的外部(公用)IP 地址。
  6. 选择“按 IP 地址”。
  7. 在“静态 IP 地址”文本框中键入站点 B XTM 设备的外部(公用)IP 地址。
  8. 单击“确定”关闭“新建网关端点设置”对话框。

    网关端点列表中将显示已定义的网关对。

配置第 1 阶段设置

在 IPSec 连接的第 1 阶段中,两个对等方建立一个经过身份验证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。

  1. 选择“第 1 阶段设置”选项卡。
  1. 从“模式”下拉列表中选择“主模式”或“攻击性模式”。 确保您选择的设置与您在本主题顶部“BOVPN 隧道设置”中选择的一样。
    由于两个端点都有静态 IP 地址,所以本示例使用了“主模式”。 如果一个端点有动态 IP 地址,则您必须使用攻击性模式。
  2. 选择“NAT 穿越”、“IKE 保持活动”或“ Dead Peer Detection (RFC3706)”。 确保您选择的值与您在“BOVPN 隧道设置”中选择的值一样。
  3. 在“转换设置”部分中,选择默认转换,然后单击“编辑”。
    此时将显示“转换设置”对话框。
  1. 从“身份验证”和“加密”下拉列表中,选择您在“BOVPN 隧道设置”中所选的方法。
  2. 在“SA 有效期”文本框中键入您在“BOVPN 隧道设置”中选择的设置。 在下拉列表中选择“小时”。
  3. 在“密钥组”下拉列表中选择一个 Diffie-Hellman 组。
  4. 单击“确定”。 保持所有其他第 1 阶段设置的默认值不变。
  5. 单击” 保存”以关闭“网关”页面。

    您添加的网关将会显示在 BOVPN 页面的“网关”列表中。

添加 VPN 隧道

  1. 单击“隧道”列表旁边的“添加”。
    将显示“隧道”配置页面。
  1. 在“隧道名称”文本框中输入隧道的名称。
  2. 从“网关”下拉列表中选择刚创建的网关。
  3. 选择“地址”选项卡。
  4. 如果您想将此隧道添加至 BOVPN-Allow.in 和 BOVPN-Allow.out 策略,请选中“将此隧道添加至 BOVPN-Allow 策略”复选框。

这些策略允许与隧道路由匹配的所有流量。 如果要限制通过隧道的流量,请清除此复选框,并使用 BOVPN 策略向导为允许通过此隧道的各类型流量创建策略。

  1. 单击“添加”。
    将显示“隧道路由设置”对话框。
  1. 在“本地 IP”部分,从“选择类型”下拉列表中选择本地地址的类型。
  2. 在“网络 IP”文本框中输入本地(专用)网络地址。 
    这是站点 B 的专用网络 IP 地址。
  3. 在“远程 IP”部分的“选择类型”下拉列表中,选择远程地址的类型。
  4. 在“网络 IP”文本框中输入远程(专用)网络地址。
    这是站点 A 的专用网络地址。
  5. 从“方向”下拉列表中选择隧道的方向。 隧道方向决定了 VPN 隧道的哪个端点可以启动通过隧道的 VPN 连接。
  6. 单击“确定”。

    在“隧道”设置页面的“地址”部分将会显示隧道路由。

配置第 2 阶段设置

第二阶段设置包括安全性关联 (SA) 的设置,它定义了当数据包在两个端点之间传递时,如何对其加以保护。 SA 会保留所有必要的信息,让 XTM 设备知道该如何处理端点之间的流量。

  1. 在“隧道”设置页面中单击“第 2 阶段设置”选项卡。
  1. 要启用 Perfect Forward Secrecy (PFS),请选中 PFS 复选框。
  2. 如果启用了 PFS,请在 PFS 下拉列表中选择正确的 Diffie-Hellman 组。
  3. XTM 设备包含一个默认方案,会显示在“IPSec 方案”列表中。 此方案指定 ESP 数据保护方法、AES 加密以及 SHA1 身份验证。 在此示例中,我们使用默认方案。 您可以:
  4. 单击“保存”。
    您创建的隧道将显示在 BOVPN 页面的“隧道”列表中。

站点 B 的 XTM 设备现已配置完毕。

在隧道的两端都配置完成后,隧道会打开且流量会通过隧道。 如果隧道不工作,请检查两台 XTM 设备上您尝试启用隧道的时间段内的日志文件。 日志文件中有日志消息,这些消息可以指示故障在配置中的位置,以及哪些设置可能出现问题。 您也可以使用 Firebox System Manager 实时查看日志消息。

提供反馈  •   获得支持  •   全部产品文件  •   知识库