Branch Office VPN > Branch Office VPN 示例 > WatchGuard 的 VPN 互操作性(Fireware XTM v11.x 到 Fireware v10.x)
WatchGuard 的 VPN 互操作性(Fireware XTM v11.x 到 Fireware v10.x)
对于网络以及主机和网络的组合来说,Branch Office Virtual Private Network (BOVPN) 隧道是通过 Internet 交换数据的安全方式。 本主题告诉您如何定义手动 BOVPN 隧道。
本主题不会详细说明 BOVPN 对话框中的不同设置以及它们如何影响现有的隧道。 如果您希望了解有关特定设置的更多信息,请参阅:
收集 IP 地址和隧道设置
要创建手动 BOVPN 隧道,您必须首先收集 IP 地址并确定端点的设置。 为了帮助您进行配置,您可以打印本文档,记下或标明您需要使用的值,随后在您配置 Policy Manager 中的设置时参考这些内容。
在此主题中,两个端点都必须有静态外部 IP 地址。
有关连接到使用动态外部 IP 地址的设备的 BOVPN 隧道的信息,请参阅“定义网关端点”。
如果您只是两台设备中一台的管理员,您可以把此表交给另一位管理员,以确保他/她为第 1 阶段和第 2 阶段设置使用的值与您所用的完全相同。
确保您正确配置 VPN 端点,且两台设备的第 1 阶段和第 2 阶段设置相同。 如果设置不匹配则不能建立隧道。
如果某个设置未显示在此列表中,请不要更改其默认值。
BOVPN 隧道设置
站点 A(使用 Fireware XTM v11.x 的 XTM 设备)
公用 IP 地址: ______________________________
专用 IP 地址: _____________________________
站点 B(使用 Fireware v10.x 的 Firebox)
公用 IP 地址: ______________________________
专用 IP 地址: _____________________________
第 1 阶段设置(两端使用的值必须完全相同)
对于使用 Fireware XTM 的 XTM 设备与使用 Fireware v10.x 的 Firebox 之间的 BOVPN 隧道,建议您选择“Dead Peer Detection (RFC3706)”,而不要选择“IKE 保持活动”。 不要同时选择两者。 如果两台端点设备都支持“Dead Peer Detection”,应始终选择该设置。
凭据方法: 选择“使用预共享的密钥”。
模式(选择一个): 主模式____ 攻击性模式____
预共享的密钥: ______________________________
NAT 穿越: 是 ____ 否 ____
NAT 穿越保持活动间隔: ________________
IKE 保持活动: 是 ____ 否 ____
IKE 保持活动消息间隔: ________________
IKE 保持活动最大失败数: ________________
Dead Peer Detection (RFC3706): 是 ____ 否 ____
Dead Peer Detection 流量闲置超时: ________________
Dead Peer Detection 最大重试次数: ________________
身份验证算法(选择一个): SHA1 ____ MD5____
加密算法(选择一个): DES____ 3DES____ AES-128 ____ AES-192____ AES-256____
SA 有效期
选择用“小时”作为 SA 有效期的单位。
Diffie-Hellman 组(选择一个): 1____ 2____ 5____
第 2 阶段设置(两端使用的值必须完全相同)
类型: AH ____ ESP ____
身份验证算法(选择一个): 无____ MD5____ SHA1____
加密算法(选择一个): DES____ 3DES____ AES-128____ AES-192____ AES-256____
强制密钥过期(选择一个): 启用____ 禁用____
Perfect Forward Secrecy(Diffie-Hellman 组): 禁用____ 组 1____ 组 2____ 组 5____
第 2 阶段密钥到期时间(小时)________________
第 2 阶段密钥到期时间(千字节)________________
隧道设置示例
本页面与上一页所含字段相同,并且包含设置示例。 这些设置对应于本例中图片上显示的设置。
站点 A(使用 Fireware XTM v11.x 的 XTM 设备)
公用 IP 地址: 50.50.50.50
专用网络 IP 地址: 10.0.50.1/24
站点 B(使用 Fireware v10.x 的 Firebox)
公用 IP 地址: 100.100.100.100
专用网络 IP 地址: 192.168.100.1/24
第 1 阶段设置(两端使用的值必须完全相同)
凭据方法: 选择“使用预共享的密钥”。
模式(选择一个): 主模式
预共享的密钥: SiteA2SiteB
NAT 穿越: 是
NAT 穿越保持活动间隔: 20 秒
IKE 保持活动: 否
IKE 保持活动消息间隔:无
IKE 保持活动最大失败数:无
Dead Peer Detection (RFC3706): 是
Dead Peer Detection 流量闲置超时: 20 秒
Dead Peer Detection 最大重试次数: 5
身份验证算法(选择一个): SHA1
加密算法(选择一个): 3DES
SA 有效期: 8
选择用“小时”作为 SA 有效期的单位。
Diffie-Hellman 组(选择一个): 2
第 2 阶段设置(两端使用的值必须完全相同)
类型: 封装安全负载 (ESP)
身份验证算法(选择一个): SHA1
加密算法(选择一个): AES(256 位)
强制密钥过期(选择一个): 启用
Perfect Forward Secrecy(Diffie-Hellman 组): 禁用
第 2 阶段密钥到期时间(小时): 8
第 2 阶段密钥到期时间(千字节): 128000
如果您使用的是 WSM v11.x 以及 WSM v10.2.2 或更高版本,那么第 1 阶段和第 2 阶段设置的示例就是您的默认设置。
配置站点 A (Fireware XTM v11.x)
添加 VPN 网关:
- 选择“VPN”>“BOVPN”。
将显示 BOVPN 配置页面,其顶部为“网关”列表。
- 要添加网关,请在“网关”列表旁单击“添加”。
将显示网关设置页面。
- 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
- 选择“常规设置”选项卡。
- 在“凭据方法 ”部分中选择“使用预共享的密钥”。 键入共享密钥。
该共享密钥必须仅使用标准 ASCII 字符。
- 在“网关端点”部分中单击“添加”。
此时将显示“新建网关端点设置”对话框。
- 在“本地网关”部分选择“按 IP 地址”。
- 在“按 IP 地址”文本框中,输入站点 A XTM 设备的外部(公用)IP 地址。
- 从“外部接口 ”下拉列表中选择具有站点 A XTM 设备外部(公用)IP 地址的接口。
- 在“远程网关”部分中选择“静态 IP 地址”。
- 在“静态 IP 地址”文本框中键入站点 B Firebox 的外部(公用)IP 地址。
- 选择“按 IP 地址”。
- 在“按 IP 地址”文本框中输入站点 B Firebox 的外部(公用)IP 地址。
- 单击“确定”关闭“新建网关端点设置”对话框。
网关端点列表中将显示已定义的网关对。
配置第 1 阶段设置
在 IPSec 连接的第 1 阶段中,两个对等方建立一个经过身份验证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。
- 单击“第 1 阶段设置”选项卡。
- 从“模式”下拉列表中选择“主模式”或“攻击性模式”。 确保您选择的设置与您在本主题上部“BOVPN 隧道设置”中选择的一样。
由于两个端点都有静态 IP 地址,所以本示例使用了“主模式”。 如果一个端点有动态 IP 地址,则您必须使用攻击性模式。
- 根据“BOVPN 隧道设置”来确定选择“NAT 穿越”、“IKE 保持活动”还是“Dead Peer Detection (RFC3706)”。
- 对于 XTM 设备与使用 Fireware 10.2.2 或更高版本的 Firebox 之间的 BOVPN 隧道,我们建议您选择“NAT 穿越”和“Dead Peer Detection”。
- 在“转换设置 ”部分中,选择默认转换并单击“编辑”。
- 在“身份验证”和“加密”下拉列表中,选择您在“BOVPN 隧道设置”中选择的方法。
- 在“SA 有效期”文本框中,输入您在“BOVPN 隧道设置”中选择的设置。 在下拉列表中选择“小时”。
- 在“密钥组”下拉列表中选择一个 Diffie-Hellman 组。
- 单击“确定”。 保持所有其他第 1 阶段设置的默认值不变。
- 单击“保存”关闭“网关”页面。
您添加的网关将会显示在“BOVPN”页面的“网关”列表中。
添加 VPN 隧道
定义网关后,您就可以在这些网关之间创建隧道。 创建隧道时您必须指定:
- 路由(隧道的本地和远程端点)
- Internet 密钥交换 (IKE) 协商的第 2 阶段的设置
添加 VPN 隧道:
- 单击“隧道”列表旁边的“添加”。
此时将显示“隧道”配置页面。
- 在“隧道名称”文本框中输入隧道的名称。
- 从“网关”下拉列表中选择刚创建的网关。
- 要向 BOVPN-Allow.in 和 BOVPN-Allow.out 策略中添加隧道,请在“地址”选项卡中选中“将此隧道添加至 BOVPN-Allow 策略”复选框。
这些策略允许与隧道路由匹配的所有流量。 如果要限制通过隧道的流量,请清除此复选框,并使用 BOVPN 策略向导为允许通过此隧道的各类型流量创建策略。
- 在“地址 ”部分中单击“添加”。
将显示“隧道路由设置”对话框。
- 在“本地 IP”部分中,从“选择类型”下拉列表中选择本地地址的类型。
- 在“网络 IP”文本框中,输入本地(专用)网络地址。
这是站点 A 的专用网络 IP 地址。
- 在“远程 IP”部分的“选择类型”下拉列表中,选择远程地址的类型。
- 在“网络 IP”文本框中,输入远程(专用)网络地址。
这是站点 B 的专用网络地址。
- 从“方向”下拉列表中选择隧道的方向。 隧道方向决定了 VPN 隧道的哪个端点可以启动通过隧道的 VPN 连接。
- 单击“确定”。
隧道路由显示在“隧道”设置页面的“地址”部分。
配置第 2 阶段设置
第二阶段设置包括安全性关联 (SA) 的设置,它定义了当数据包在两个端点之间传递时,如何对其加以保护。 SA 保留所有必要的信息,使 XTM 设备知道它应该如何对端点之间的流量进行处理。
- 在“隧道”设置页面上选择“第 2 阶段设置”选项卡。
- 要启用 Perfect Forward Secrecy (PFS),请选中 PFS 复选框。 如果启用了 PFS,请从下拉列表中选择正确的 Diffie-Hellman 组。
- XTM 设备包含一个默认方案,显示在“IPSec 方案”列表中。 此方案指定 ESP 数据保护方法、AES 加密以及 SHA1 身份验证。 在此示例中,我们使用默认方案。 您可以:
- 单击“添加”以添加默认方案。
- 删除默认方案。 然后,从下拉列表中选择另一个方案,并单击“添加”。
- 添加另一个方案,添加方法请参阅“添加 第 2 阶段方案”。
- 单击“保存”。
您创建的隧道将会显示在 BOVPN 页面的“隧道”列表中。
站点 A 的 XTM 设备现在已配置完毕。
配置站点 B,Fireware v10.x
您现在可以在站点 B 上配置网关了,站点 B 装有使用 Fireware v10.x 的 Firebox。
添加 VPN 网关
- 打开 Policy Manager。
- 选择“VPN”>“分支机构网关”。
将显示“网关”对话框。
- 单击“添加”。
此时将显示“新建网关”对话框。
- 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
- 选择“常规设置”选项卡。
- 在“凭据方法 ”部分中选择“使用预共享的密钥”。 键入共享密钥。
该共享密钥必须仅使用标准 ASCII 字符。
- 在“网关端点”部分中单击“添加”。
将显示“新建网关端点设置”对话框。
- 在“本地网关”部分中选择“按 IP 地址”。
- 从“IP 地址”下拉列表中选择站点 B Firebox 的外部(公用)IP 地址。
该列表显示了所有已配置接口的 IP 地址。
- 从“外部接口 ”下拉列表中选择具有站点 B Firebox 外部(公用)IP 地址的接口。
- 在“远程网关”部分中选择“静态 IP 地址”。
- 在“静态 IP 地址”文本框中键入站点 A XTM 设备的外部(公用)IP 地址。
- 选择“按 IP 地址”。
- 在“按 IP 地址”文本框中键入或选择站点 A XTM 设备的外部(公用)IP 地址。
- 单击“确定”关闭“新建网关端点设置”对话框。
网关端点列表中将显示已定义的网关对。
配置第 1 阶段设置
在 IPSec 连接的第 1 阶段中,两个对等方建立一个经过身份验证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。
- 单击“第 1 阶段设置”选项卡。
- 从“模式”下拉列表中选择“ 主模式”或“攻击性模式”。 确保您选择的设置与您在本主题上部“BOVPN 隧道设置”中选择的一样。
- 选择“NAT 穿越”、“IKE 保持活动”或“Dead Peer Detection (RFC3706)”。 确保您选择的值与您在“BOVPN 隧道设置”中选择的值一样。
对于 XTM 设备与使用 Fireware 10.2.2 或更高版本 Firebox 之间的 BOVPN 隧道,我们建议您选择“NAT 穿越”和“Dead Peer Detection”。
- 在“转换设置 ”区域,选择默认转换,然后单击“删除”。
- 单击“添加”以添加新转换。
- 从“身份验证”和“加密”下拉列表中选择您在“BOVPN 隧道设置”中所选的方法。
- 在“SA 有效期”文本框中键入您在“BOVPN 隧道设置”中选择的设置。 从下拉列表中选择“小时”。
- 从“密钥组”下拉列表中选择一个 Diffie-Hellman 组。
- 单击“确定”。 保持所有其他的第 1 阶段设置的默认值不变。
- 单击“确定”关闭“新建网关”对话框。
- 单击“关闭”来关闭“网关”对话框。
添加 VPN 隧道
定义网关后,您就可以在这些网关之间创建隧道。 创建隧道的进程包含下列配置:
- 路由(隧道的本地和远程端点)
- Internet 密钥交换 (IKE) 协商的第 2 阶段的设置
添加 VPN 隧道:
- 打开 Policy Manager。
- 选择“VPN”>“分支机构隧道”。
将显示“分支机构 IPSec 隧道”对话框。
- 单击“添加”。
将显示“新建隧道”对话框。
- 在“隧道名称”文本框中输入隧道的名称。
- 从“网关”下拉列表中选择刚创建的网关。
- 选择“地址”选项卡。
- 如果您想将此隧道添加至 BOVPN-Allow.in 和 BOVPN-Allow.out 策略,请选中“将此隧道添加至 BOVPN-Allow 策略”复选框。
这些策略允许与隧道路由匹配的所有流量。 如果要限制通过隧道的流量,请清除此复选框,并使用 BOVPN 策略向导为允许通过此隧道的各类型流量创建策略。
- 单击“添加”。
将显示“隧道路由设置”对话框。
- 在“本地”下拉列表中选择本地专用网络地址;此地址是站点 A 的专用网络 IP 地址。
也可以单击“本地”下拉列表旁边的按钮,添加主机 IP 地址、网络地址、主机 IP 地址范围或 DNS 名称。 这些是位于本地 XTM 设备后的设备,可以通过隧道进行通信。
- 在“远程”文本框中键入远程专用网络地址。 这是站点 B 的专用网络 IP 地址。
也可以单击旁边的按钮,输入主机 IP 地址、网络地址、主机 IP 地址范围或 DNS 名称。 这些是位于远程 XTM 设备后面的设备,可以通过隧道进行通信。
- 从“方向”下拉列表中选择隧道的方向。 隧道方向决定了 VPN 隧道的哪个端点可以通过 BOVPN 隧道启动连接。
- 单击“确定”。
配置第 2 阶段设置
第二阶段设置包括安全性关联 (SA) 的设置,它定义了当数据包在两个端点之间传递时,如何对其加以保护。 SA 保留所有必要的信息,让 XTM 设备知道它应该如何对端点之间的流量进行处理。
- 在“新建隧道”对话框中选择“第 2 阶段设置”选项卡。
- 要启用 Perfect Forward Secrecy (PFS),请选中 PFS 复选框。
- 如果启用了 PFS,请从 PFS 下拉列表中选择正确的 Diffie-Hellman 组。
- 单击“设置”。
此时将显示“高级 SA 设置”对话框。
- 如果您想在 VPN 隧道定义中为每个本地/远程地址对创建唯一的 SA,请在“地址选择器”部分中选中“创建一个涵盖所有隧道路由的 SA”复选框。 我们建议您不要选中此复选框。
- 在“服务选择器 ”部分中选中“创建一个包括所有端口和协议的 SA”。 如果清除此复选框,则将为每个唯一端口/协议对创建一个 SA。
如果想控制允许通过隧道的端口和协议,建议您使用 BOVPN 策略。
- 单击“确定”。
此时将显示“第 2 阶段设置”选项卡。
- 在“IPSec 方案”部分中,选择默认方案,然后单击“删除”。
- 单击“添加”。
此时将会显示“新建第 2 阶段方案”对话框。
- 选择“创建新的第 2 阶段方案”。
- 在“名称”文本框中键入新方案的名称。
- 从“类型”下拉列表中选择“ESP”或“AH”。
- 按照您在“BOVPN 隧道设置”中的设置,选择第 2 阶段“身份验证”和“加密”设置。
- 要设置密匙在使用一段时间或传送一定流量后过期,请在“强制密钥过期”下拉列表和文本框中,选择“启用”并键入或选择密钥过期的时间数和千字节数。
如果时间或千字节的输入值为零,则忽略计数。 如果禁用“强制密钥过期”或小时数和千字节数均设置为零,Fireware 会使用默认值,即零字节和八小时。
- 依次在两个对话框中单击“确定”以返回“分支机构 IPSec 隧道”对话框。
您所添加的隧道将会显示在“分支机构 IPSec 隧道”列表中。
- 单击“关闭”。
- 将配置保存到 Firebox。
站点 B 的 Firebox 现在已配置完毕。
在隧道的两端都配置完成后,隧道会打开且流量会通过隧道。 如果隧道不工作,请检查两台设备上您尝试启用隧道的时间段内的日志文件。 日志文件中有日志消息,这些消息可以指示故障在配置中的位置,以及哪些设置可能出现问题。 您也可以使用 Firebox System Manager 实时查看日志消息。