Mobile VPN with L2TP > 编辑 Mobile VPN with L2TP 配置

编辑 Mobile VPN with L2TP 配置

我们建议您第一次使用 WatchGuard L2TP Setup Wizard 来设置 Mobile VPN with L2TP。 有关详细信息,请参阅使用 WatchGuard L2TP Setup Wizard

要编辑 Mobile VPN with L2TP 配置,请执行以下操作:

  1. 选择 VPN > Mobile VPN with L2TP
  2. 单击配置
    将显示 Mobile VPN with L2TP 页面。
  1. 如果 Mobile VPN with L2TP 尚未激活,请选中激活 Mobile VPN with L2TP 复选框。
    Mobile VPN with L2TP 已启用,并且在配置中默认启用 IPSec。
  2. 使用后续部分中的信息来配置 Mobile VPN with L2TP 设置。

如果设备配置中已包含一个使用主模式的 Branch Office VPN 网关和一个使用动态 IP 地址的远程网关,则不能在 Mobile VPN with L2TP 配置中启用 IPSec。 激活 Mobile VPN with L2TP 时,默认启用 L2TP 配置中的 IPSec 设置。 如果由于现有 Branch Office VPN 配置而无法启用 IPSec,则激活 Mobile VPN with L2TP 时,将显示警告消息。 可以选择在不使用 IPSec 的情况下启用 L2TP,但安全性较低,因此不建议这样做。

编辑虚拟 IP 地址池

网络选项卡上,虚拟 IP 地址池将显示 Mobile VPN with L2TP 用户通过隧道使用的内部 IP 地址。 XTM 设备只有在需要时才会使用这些地址。 虚拟 IP 地址池必须至少包含两个 IP 地址。

有关虚拟 IP 地址的详细信息,请参阅虚拟 IP 地址和 Mobile VPN

要添加到虚拟 IP 地址池,请执行以下操作:

  1. 选择类型下拉列表中,选择以下选项之一:
  2. 键入要添加的主机 IP 地址、网络 IP 地址或 IP 地址范围。
  3. 单击添加

要从虚拟 IP 地址池中移除 IP 地址或地址范围,请执行以下操作:

  1. 选择要移除的 IP 地址条目。
  2. 单击移除

编辑网络设置

网络选项卡(位于 Mobile VPN with L2TP 配置对话框中)上,可配置若干网络设置。 对于大多数 L2TP 配置,最好保留默认值。 我们建议您不要更改这些值,除非您确定该更改会修正已知问题。

可配置的设置如下:

保持活动超时

此设置指定 XTM 设备向 L2TP 发送“Hello”消息的频率。 默认值为 60 秒。

重新传送超时

此设置指定 XTM 设备等待确认消息的时长。 如果 XTM 设备在此时间范围内没有收到确认消息,则会重新传送消息。 默认值为 5 秒。

最大重试次数

此设置指定 XTM 设备重新传送消息的最大次数。 如果超过最大重试次数,XTM 设备会关闭连接。 默认值为 5。

最大传输单位 (MTU)

此设置指定通过 L2TP 隧道在 PPP 会话中接收的数据包的最大尺寸。 默认值为 1400 字节。

最大接收单位 (MRU)

此设置指定通过 L2TP 隧道在 PPP 会话中发送的数据包的最大尺寸。 默认值为 1400 字节。

编辑认证设置

认证选项卡上,可配置认证服务器及授权用户和组。

配置认证服务器 

要选择将要使用的认证服务器,请执行以下操作:

  1. 在 Mobile VPN with L2TP 页面中,选择认证选项卡。
  1. 认证服务器设置部分中,选中要用于 Mobile VPN with L2TP 用户认证的每个认证服务器的复选框。 您可以使用内部 XTM 设备数据库 (Firebox-DB) 或 RADIUS 服务器(如果已配置)。
    有关 L2TP 用户认证方法的详细信息,请参阅关于 L2TP 用户认证
  2. 如果选择了多个认证服务器,请选择要作为默认服务器的服务器。 单击设置为默认值以将该服务器移动到列表顶部。

如果选择多个认证服务器,则使用非默认的认证服务器的用户必须在用户名中指定认证服务器或域。 有关详细信息和示例,请参阅从 L2TP VPN 客户端连接

配置用户和组

如果使用 Firebox-DB 进行认证,则必须使用默认创建的 L2TP 用户组。 可添加使用 Mobile VPN with L2TP 的其他组和用户的名称。 对于添加的每个组或用户,可以选择该组所在的认证服务器,或选择任意(如果该组位于多个认证服务器上)。 添加的组或用户名必须位于认证服务器上。 组和用户名区分大小写,并且必须与认证服务器上的名称完全匹配。

要配置用户和组以进行 Mobile VPN with L2TP 认证,请执行以下操作:

  1. 名称文本框中,键入组或用户的名称。
  2. 认证服务器下拉列表中,选择用户或组所在的认证服务器。 或者,选择全部(如果该组可与所有选定的认证服务器一起使用)。
  3. 单击添加

有关 L2TP 用户认证方法的详细信息,请参阅关于 L2TP 用户认证

添加用户或组并选择 Firebox-DB 作为认证服务器时,不会将此用户或组自动添加至 Firebox-DB。 请确保您添加的使用 Firebox-DB 认证的任意用户或组也已在 Firebox 认证设置中配置。 有关详细信息,请参阅将 XTM 设备配置为认证服务器

编辑 L2TP IPSec 设置

Mobile VPN with L2TP 在启用或未启用 IPSec 的情况下均可运行。 使用 IPSec 的 L2TP 提供了强大的加密和认证方法。 不使用 IPSec 的 L2TP 不能提供强大的加密和认证方法。 我们建议您不要在 Mobile VPN with L2TP 配置中禁用 IPSec。

启用 Mobile VPN with L2TP 时,默认启用 IPSec。 您必须配置的唯一 IPSec 设置是认证的凭据方法。 其他 IPSec 第 1 阶段设置将设定为默认值。 Mobile VPN with L2TP 的默认第 1 阶段和第 2 阶段 IPSec 设置与 Branch Office VPN 中的默认第 1 阶段和第 2 阶段设置相似。 您可以更改它们,以与所使用的 L2TP 客户端的 IPSec 设置相匹配。 L2TP 客户端上的 IPSec 设置必须与 Mobile VPN with L2TP 配置中的设置相匹配。

启用或禁用 IPSec

  1. 在 Mobile VPN with L2TP 页面中,选择 IPSec 选项卡。
  2. 要为 L2TP 禁用 IPSec,请清除启用 IPSec 复选框。
    要为 L2TP 启用 IPSec,请选中启用 IPSec 复选框。

配置 IPSec 第 1 阶段设置

启用 IPSec 后,必须在 IPSec 第 1 阶段设置中配置隧道认证方法。 请在 WatchGuard L2TP Setup Wizard 中或 IPSec 选项卡上配置隧道认证方法。

要配置 IPSec 隧道认证方法,请执行以下操作:

  1. 在 Mobile VPN with L2TP 页面中,选择 IPSec 选项卡。
  1. 单击第 1 阶段设置选项卡。
  2. 选择一个 IPSec 隧道认证选项。 有两个选项:

使用预共享密钥

键入共享密钥。 您必须使用 L2TP 客户端上 IPSec 设置中的同一预共享密钥。

使用 IPSec Firebox Certificate

从表格中选择要使用的证书。 您必须已将证书导入至 XTM 设备,才能使用此选项。

有关 IPSec 证书的详细信息,请参阅用于 Mobile VPN with L2TP 隧道认证的证书

如果要为 iOS 版 WatchGuard Mobile VPN 应用生成配置,则必须选择使用预共享的密钥。 有关详细信息,请参阅配置 Mobile VPN with L2TP 以用于 iOS 设备

默认 L2TP IPSec 配置包含一个默认转换集,该转换集显示在转换设置列表中。 用于指定 SHA-1 认证、3DES 加密和 Diffie-Hellman 组 2。

您可以:

高级部分中,可配置 NAT 穿越和失效检测设置。

有关高级第 1 阶段设置的详细信息,请参阅配置 L2TP IPSec 第 1 阶段高级设置

配置 IPSec 第 2 阶段设置

IPSec 第 2 阶段设置包括安全性关联 (SA) 设置,它定义了当数据包在两个端点之间传递时如何保护数据安全。 SA 会保留所有必要的信息,让 XTM 设备知道该如何处理端点之间的流量。 SA 中的参数包括:

配置第 2 阶段设置

  1. Mobile VPN with L2TP 页面中,选择 IPSec 选项卡。
  2. 选择第 2 阶段设置选项卡。
  1. 如果要启用 Perfect Forward Secrecy (PFS),请选中启用 Perfect Forward Secrecy 复选框。

Perfect Forward Secrecy 可为在会话中创建的密钥提供更多保护。 用 PFS 创建的密钥不是基于上一个密钥生成的。 即使在会话结束后上一密钥被泄露,新的会话密钥也是安全的。

系统默认禁用 PFS,因为许多 L2TP 客户端不支持它。 在 Mobile VPN with L2TP 配置中启用 PFS 之前,请确保您的 L2TP 客户端已启用 PFS。

  1. 如果启用了 PFS,请选择 Diffie-Hellman 组。

有关 Diffie-Hellman 组的详细信息,请参阅关于 Diffie-Hellman 组

  1. 配置第 2 阶段方案。 L2TP IPSec 配置包含两个默认的 IPSec 第 2 阶段方案,显示在 IPSec 方案列表中。 您可以:

激活 Mobile VPN with L2TP 时,Policy Manager 会自动创建两个策略来允许流量通过。 有关详细信息,请参阅关于 L2TP 策略

配置移动客户端

配置 Mobile VPN with L2TP 后,可生成移动应用程序配置文件,以与适用于 iOS 设备的 WatchGuard Mobile VPN 应用配合使用。 请在移动客户端选项卡上执行此操作。 有关详细信息,请参阅生成并分发 L2TP 移动客户端配置文件

请参阅

关于 Mobile VPN with L2TP

提供反馈  •   获得支持  •   全部产品文件  •   知识库