在
要让可信任网络或可选网络上的用户建立与其他 XTM 设备后的 XTM 设备的出站 IPSec 连接,必须选中“启用 IPSec 传递”复选框。 例如,如果移动员工所在的客户位置具有 XTM 设备,则他们可以使用 IPSec 与他们的网络建立 VPN 连接。 为使本地 XTM 设备正确地允许传出 IPSec 连接,必须将 IPSec 策略添加到配置。
启用 IPSec 传递后,名为 WatchGuard IPSec 的策略将自动添加到配置。 该策略允许从任何可信任网络或可选网络到任何目标的流量。 如果禁用 IPSec 传递,将自动删除 WatchGuard IPSec 策略。
“启用 IPSec 传递”复选框可启用出站 IPSec 传递。 要启用入站 IPSec 传递,必须清除“启用内置 IPSec 策略”复选框,并创建 IPSec 策略来处理 XTM 设备和任何其他 VPN 端点的入站 VPN 流量。 有关详细信息,请参阅使用 SNAT 配置入站 IPSec 传递。
服务类型 (TOS) 是 IP 头中的一组四位标志,可以指示路由设备给予某个 IP 数据报比其他数据报更高或更低的优先级。 Fireware XTM 允许 IPSec 隧道清除或保持拥有 TOS 标志的数据包的设置。 有些 ISP 会丢弃所有具有 TOS 标志的数据包。
如果不选中“为 IPSec 启用 TOS”复选框,则所有 IPSec 数据包均不具有 TOS 标志。 如果以前设置了 TOS 标志,则当 Fireware XTM 将数据包封装到 IPSec 头中时,将清除这些 TOS 标志。
如果选中“为 IPSec 启用 TOS”复选框,且原始数据包具有 TOS 标志,则 Fireware XTM 在将该数据包封装到 IPSec 头中时将保持其 TOS 标志设置。 如果原始数据包不包含 TOS 标志设置,Fireware XTM 在将该数据包封装到 IPSec 头中时不会设置 TOS 标志。
如果要将 QoS 标记应用到 IPSec 流量,请确保仔细考虑是否选中该复选框。 QoS 标记会更改 TOS 标志的设置。 有关 QoS 标记的详细信息,请参阅关于 QoS 标记。
如果未启用该选项,所有与 IPSec 网关中指定的隧道路由相匹配的数据包都通过 IPSec VPN 发送。 如果启用该选项,XTM 设备会使用路由表确定是否通 IPSec VPN 隧道发送数据包。
如果用默认路由发送数据包
数据包将被加密并通过 VPN 隧道发送到在 VPN 网关配置中指定的接口。
如果用非默认路由发送数据包
数据包将被路由到在路由表的非默认路由中指定的接口。 如果使用非默认路由,是否通过 IPSec VPN 隧道发送数据包取决于在路由表中指定的接口。 如果非默认路由中的接口和 BOVPN 网关中的接口相匹配,数据包将通过为该接口配置的 BOVPN 隧道发送。 例如,如果 BOVPN 网关接口设置为 Eth0,相匹配的非默认路由使用 Eth1 作为接口,则数据包不通过 BOVPN 隧道发送。 但是,如果相匹配的非默认路由使用 Eth0 作为接口,则数据包通过 BOVPN 隧道发送。
该功能适用于任何非默认路由(静态或动态)。可配合动态路由使用该功能,以启用从专用网络路由到加密 IPSec VPN 隧道的动态网络故障转移。
例如,考虑一个组织在两个网络(站点 A 和站点 B)之间发送流量,该组织使用动态路由协议,通过专用网络连接在两个站点之间发送流量,而不需要 VPN。 专用网络连接到每个设备的 Eth1 接口。 该组织还会在两个站点之间配置 BOVPN 隧道,以通过本地 Internet 连接和每个设备的 Eth0 接口发送 BOVPN 流量。 只有在专用网络连接不可用时,才通过 BOVPN 隧道发送流量。
如果他们选中“全局 VPN 设置”中的“启用使用非默认(静态或动态)路由以确定是否使用 IPSec”复选框,则在 Eth1 接口存在与专用网络的动态路由的情况下,XTM 设备会通过此网络发送流量。 否则,它通过 Eth0 接口上的加密 IPSec BOVPN 隧道发送流量。
有关如何使用此设置的详细信息,请参阅配置 Branch Office VPN,以实现从租用线路进行故障转移。
XTM 设备包括内置 IPSec 策略,可支持从“Any-External”向“Firebox”发送 IPSec 流量。 此隐藏策略使 XTM 设备可充当 Branch Office VPN 和 Mobile VPN with IPSec 隧道的 IPSec VPN 端点。 此内置 IPSec 策略的优先级高于任何手动创建的 IPSec 策略。 默认情况下会启用此内置 IPSec 策略。 要禁用此策略,可清除“启用内置 IPSec 策略”复选框。 请勿禁用此内置策略,除非要创建另一个 IPSec 策略以终止非 XTM 设备的设备(例如 XTM 设备可信任或可选网络上的 VPN 分配器)上的 VPN 隧道。
如果清除“启用内置 IPSec 策略”复选框,则必须创建 IPSec 策略来处理 XTM 设备和任何其他 VPN 端点上的入站 VPN 流量。 有关详细信息,请参阅使用 SNAT 配置入站 IPSec 传递。
创建了 VPN 网关后,请指定在建立隧道后两个 VPN 端点所使用的凭据方法。 如果选择使用 IPSec XTM 设备证书,则可识别用于认证该证书的 LDAP 服务器。 输入 LDAP 服务器的 IP 地址。 如果希望使用除 389 端口以外的端口,可自行指定一个端口。
该设置不适用于 Mobile VPN with IPSec 隧道。