Mobile VPN with IPSec > 搭配 Android 设备使用 Mobile VPN with IPSec

搭配 Android 设备使用 Mobile VPN with IPSec

有两种 VPN 客户端可用于建立从 Android 设备到 XTM 设备的 Mobile VPN with IPSec 连接。

Android 本机 VPN 客户端

运行 Android 4.x 及更高版本的移动设备都包含一个 VPN 客户端。 可以使用该 Android VPN 客户端与运行 Fireware XTM v11.5.1 或更高版本的 WatchGuard XTM 设备建立 IPSec VPN 连接。 要执行此操作,必须在 XTM 设备上配置 VPN 设置以使其与 Android 设备上的对应设置相匹配。 然后,手动配置 Android 设备上的 VPN 客户端设置以匹配 XTM 设备上的设置。 建议使用 Android 4.0.4 或更高版本 WatchGuard XTM 设备建立 IPSec VPN 连接。

Android 版 WatchGuard Mobile VPN 应用

Android 版 WatchGuard Mobile VPN 应用可用于导入 Mobile VPN with IPSec 配置文件,然后使用这些设置来连接至网络。 可以使用 WatchGuard Android VPN 客户端与运行 Fireware XTM v11.7 或更高版本的 WatchGuard XTM 设备建立 IPSec VPN 连接。 Android 4.0.x 或 4.1.x 支持 WatchGuard Mobile VPN 应用。

有关详细信息,请参阅关于 WatchGuard Mobile VPN 应用

WatchGuard 已在以下 Android 设备上测试了此处介绍的 IPSec VPN 配置:

对于从本机 Android VPN 客户端建立的 VPN 连接和 Android 版 WatchGuard Mobile VPN 应用,可以使用相同的 Mobile VPN with IPSec 设置。 对于从 Mac OS X 设备或 iOS 设备建立的 VPN 连接,可以使用所生成的同一配置文件。

有关如何在 iOS 设备上配置 VPN 客户端的信息,请参阅搭配 Mac OS X 或 iOS 设备使用 Mobile VPN with IPSec

配置 XTM 设备

对于本机 Android VPN 客户端和 Android 版 WatchGuard Mobile VPN 应用,可以使用相同的 Mobile VPN with IPSec 配置设置。

使用以下步骤配置所需的设置:

  1. 选择 VPN > Mobile VPN with IPSec
    将显示 Mobile VPN with IPSec 页面。
  2. 单击添加
    将显示 Mobile VPN with IPSec 设置页面。
  1. 组名称文本框中,键入 Android VPN 用户所属认证组的名称。

可以输入现有组的名称,也可以输入一个新名称建立新的 Mobile VPN 组。 确保该名称与其他 VPN 组名称不同,并与所有接口名称及 VPN 隧道名称不同。

  1. 认证服务器下拉列表中选择一个认证服务器。

确保已启用此认证方法。

如果您创建了使用外部认证服务器进行认证的 Mobile VPN 用户组,请确保在该服务器上创建的组名称与在向导中添加的 Mobile VPN 组名称完全相同。 如果使用 Active Directory 作为认证服务器,则用户必须属于某个 Active Directory 安全组,并且该组必须与为 Mobile VPN with IPSec 配置的组同名。
有关详细信息,请参阅配置外部 认证服务器

  1. 键入并确认用于此隧道的密码短语
  2. Firebox IP 地址部分,键入该组中的 Mobile VPN 用户可连接到的主外部 IP 地址或域名。
  3. 选择 IPSec 隧道选项卡。
    将显示 IPSec 隧道设置。
  1. 确保选择了使用最终用户配置文件的密码短语作为预共享密钥
    该选项为默认设置。
  2. 身份验证下拉列表选择 SHA-1MD5
  3. 加密下拉列表中选择下列选项之一:
  4. 第 1 阶段设置部分中单击高级
    将显示第 1 阶段高级设置。
  1. SA 有效期设置为 1 小时

Android VPN 客户端随即配置为在 1 小时后重新生成密钥。 如果此配置文件仅用于通过 Android VPN 建立连接,则将 SA 有效期设置为 1 小时以匹配客户端设置。

如果要将此 VPN 配置文件用于所有支持的 VPN 客户端,应将 SA 有效期设置为 8 小时。 将 SA 有效期设置为 8 小时时,Shrew Soft VPN 和 WatchGuard Mobile VPN with IPSec 客户端会在 8 小时后重新生成密钥,但是 Android VPN 客户端会使用较小的重新生成密钥时间值,即 1 小时。

  1. 密钥组下拉列表选择 Diffie-Hellman 组 2
  2. 不要更改任何其他第 1 阶段高级设置。
  3. 单击返回到常规设置
  4. 第 2 阶段设置部分,清除 PFS 复选框。
  1. 第 2 阶段设置部分中单击高级
    将显示第 2 阶段高级设置。
  1. 身份验证下拉列表选择 SHA1MD5
  2. 加密下拉列表,选择 3DESAES(128 位)AES(256 位)
  3. 强制密钥过期设置中,将过期时间设置为 1 小时,并清除流量复选框。
  4. 选择资源选项卡。
  5. 选中允许所有流量通过隧道复选框。
    这会配置默认路由 VPN 的隧道。 Android VPN 客户端不支持拆分隧道。
  6. 虚拟 IP 地址池列表中,添加 Mobile VPN 用户通过隧道使用的内部 IP 地址。
    要向虚拟 IP 地址池添加 IP 地址或网络 IP 地址,请选择主机 IP网络 IP,键入地址,然后单击添加

当 Mobile VPN 用户连接到您的网络时,会为其分配虚拟 IP 地址池中的 IP 地址。虚拟 IP 地址池中的 IP 地址数量应该与 Mobile VPN 用户数量相同。虚拟 IP 地址不需要与可信任网络位于同一子网。如果配置了 FireCluster,则必须为每个 Mobile VPN 用户添加两个虚拟 IP 地址。

虚拟 IP 地址池中的 IP 地址不能用于网络上的其他用途。

  1. 单击保存

要从 Android VPN 客户端进行认证,Android VPN 用户必须是您在 Add Mobile VPN with IPSec Wizard 中指定的认证组的成员。

配置 WatchGuard Mobile VPN 应用

如果移动用户使用 Android 版 WatchGuard Mobile VPN 应用,则可以生成 VPN 配置文件,并将其发送给 Mobile VPN 用户。 这会将 WatchGuard Mobile VPN 应用配置为使用 Mobile VPN with IPSec 进行连接。

要配置 Android 版 WatchGuard Mobile VPN 应用,请执行以下操作:

  1. 从 Mobile VPN with IPSec 组生成 .wgm 配置文件。

有关说明,请参阅生成 Mobile VPN with IPSec 配置文件

  1. 将 .wgm 配置文件作为电子邮件附件发送给移动用户。
  2. 使用安全方式将密码提供给移动用户。
  3. 在 Android 设备上,从 Google Play 应用商店安装免费的 WatchGuard Mobile VPN 应用。
  4. 在 Android 设备上的电子邮件客户端中,打开包含 .wgm 文件附件的电子邮件。
  5. 打开 .wgm 文件附件。
    WatchGuard Mobile VPN 应用启动。
  6. 键入管理员提供的密码解密该文件。
    WatchGuard Mobile VPN 应用会导入配置并创建一个 VPN 连接配置文件。
  7. 在 WatchGuard Mobile VPN 应用中单击该 VPN 连接文件启动 VPN 连接。

配置本机 Android 4.x VPN 客户端

您也可以使用本机 Android VPN 客户端进行连接。 要使用本机 Android VPN 客户端,用户必须手动配置 VPN 客户端设置以匹配 XTM 设备上配置的设置。

要在 Android 设备上手动配置本机 VPN 客户端,请执行以下操作:

  1. 设置页面上的无线和网络部分中,选择更多 > VPN
  1. 单击添加 VPN 网络
    将显示编辑 VPN 网络页面。
  1. 配置以下设置:
  2. 保存此连接。
  3. 打开连接,并为指定认证组中的用户键入用户名密码
  1. 单击连接

要确认连接是否成功,以及 VPN 隧道是否处于活动状态,请浏览至显示您的 IP 地址的网站,例如 www.whatismyip.com。 如果 Android 设备已通过 VPN 连接,则您的 IP 地址应为 XTM 设备的外部 IP 地址。

请参阅

关于 Mobile VPN with IPSec

定义 第 1 阶段高级设置

定义第 2 阶段高级设置

提供反馈  •   获得支持  •   全部产品文件  •   知识库