《[安联VPN配置详解]远程终端访问总部单一应用服务器.docx》由会员分享,可在线阅读,更多相关《[安联VPN配置详解]远程终端访问总部单一应用服务器.docx(22页珍藏版)》请在三一办公上搜索。
1、【安联VPN配置详解】远程终端访问总部网络本案例所讲述的VPN配置方案适用于企业总部有多台计算机需要被远程终端访问,采用此VPN方案的优势在于远程终端可以访问总部内的所有网络资源。1. 网络现状和应用需求说明n 企业有一个总部和多个分支机构,都使用ADSL上网n 总部局域网目前通过宽带路由共享上网,PPPoE拨号后获得动态公网IPn 一部分分支机构只有1台终端,通过Windows XP操作系统内置的PPPoE程序拨号上网;另一部分分支机构有3到4台终端,通过宽带路由共享上网n 分支机构的终端需要访问总部局域网内的任意计算机,如通过网上邻居访问共享文件,或使用ERP、OA、或财务等应用系统软件2
2、. 实施步骤图示3. 在总部需要完成的配置工作第一步:在总部配置一台双网卡计算机,取代现有的宽带路由n 配置一台双网卡计算机,安装Windows 2000、Windows XP或Windows 2003操作系统。n 使用这台双网卡计算机取代原有用于实现共享上网的宽带路由,并将一块网卡与ADSL Modem连接,将另一块网卡与内部交换机连接。与ADSL Modem连接的网卡为外网网卡,IP地址可配置为自动获得或任意指定;与内部交换机连接的网卡为内网网卡,IP地址设置为局域网IP(外网网卡IP和内网网卡IP不能属于同一个地址段)。本案例中,总部局域网网段为192.168.100.0/255.255
3、.255.0;所以这台双网卡计算的内网网卡IP设为192.168.100.1n 将总部局域网内所有终端的默认网关都设为这台双网卡计算的内网网卡IP,本案例为192.168.100.1n 由于总部是通过ADSL上网的,所以要在双网卡计算机上安装PPPoE拨号程序,如果是Windows 2003或windows XP系统,建议使用系统自带的PPPoE拨号程序,如果是Windows 2000系统,建议使用RAS PPPoE拨号软件(RAS PPPoE拨号软件在很多下载网站中都可以找到)。稍后,我们将在这台双网卡计算机上安装安联防火墙/VPN网关软件,这样这台计算机就会成为总部的VPN网关,并同时实现
4、共享上网、网络防火墙的作用。由于安联防火墙/VPN网关软件在运行时占用的系统资源不多,所以在这台计算机上可同时安装其它网络应用系统,作为总部的应用服务器使用,其安全性与局域网内的其它服务器没有区别。第二步:在双网卡计算机上安装安联防火墙/VPN软件,使其成为VPN网关n 安装前的准备工作和详细的安装步骤,请参考附录一“安联防火墙/VPN软件安装详解”n 由于这台双网卡计算机使用系统自带的或第三方的PPPoE软件进行ADSL拨号,所以在安装过程中,选择“防火墙绑定的网卡”时应选择“拨号网路适配器”第三步:在VPN网关上配置VPN隧道策略并为远程终端分配VPN帐户n 参考附录二,启动安联防火墙/V
5、PN软件并打开控制台;用鼠标右键单击控制台左边的灰色竖栏,可弹出控制台菜单:n 在控制台菜单中选择“IPSec VPN配置导向”,打开VPN配置向导窗口,根据系统提示一步步完成隧道配置,以下是详细配置图示:点击“VPN配置导向”选择“VPN服务器配置”后执行“下步”输入共享秘钥,如:“123456”。稍后在配置VPN客户端时也需要输入相同的共享密钥此处无需配置用户帐户,稍后另行配置 推荐选择“AES”算法 在本例中,此处应该输入“255.255.255.0” 在本例中,此处应该输入“192.168.100.0” 在配置VPN服务器端隧道策略过程中,最重要的一步就是配置本地网络,即输入正确的“本
6、地网络”和“本地网络掩码”。通常情况下,用户只需按照以下方式输入,即可配置正确:a)在“本地网络”输入栏中输入VPN网关的局域网IP地址,并将最后一个地址段改为“0”,例如:本案例中VPN网关的内网IP地址为192.168.100.1,则在此应该输入“192.168.100.0”;b)在“本地网络掩码”输入栏中始终输入 “255.255.255.0”。察看VPN服务器端的隧道配置,确认无误后点击“保存并生效”,完成VPN隧道配置工作n 在控制台菜单中选择“IPSec 用户管理”,打开用户管理窗口,在该窗口中为每个远程VPN用户配置一个认证帐户,以下是详细配置步骤:选择“用户管理”用鼠标右键单击
7、空白处,可弹出以下菜单:注意:前面为带有红叉图标的用户帐户为失效状态上述配置完成后,单击下步通常无需描述输入信息输入密码,注意:不能用中文字符输入用户名,注意:不能用中文字符使用菜单命令创建一个新用户重复前面的步骤,在创建了所有用户帐户后,点击“保存”即可完成用户配置工作。为用户配置一个虚拟IP分配虚拟IP的工作不是必需的,但为VPN用户分配虚拟IP可以避免很多意想不到的路由错误,同时可以通过虚拟IP对VPN用户进行多种方式的访问控制。分配虚拟IP的原则是:a)虚拟IP不能属于VPN网关所保护的局域网地址段,例如:本例中,总部局域网网段为192.168.100.0/255.255.255.0,
8、那么远程终端的虚拟IP不能使用192.168.100.X;b)为每个VPN用户分配的虚拟IP不能相同。第四步:在VPN网关上,对安联防火墙/VPN软件进行的其它配置n 在控制台菜单中执行“文件 属性”命令,打开系统属性窗口,在“局域网”页面中声明内部局域网网络地址执行“属性”命令切换到“局域网”页面在网络#1的地址栏中填写本局域网IP,本例为:192.168.100.0;在网络#1的掩码栏中填写本局域网掩码,本例为:255.255.255.0;其它输入栏清空点击“是”,完成配置第五步:在总部申请和使用动态域名服务由于总部使用ADSL接入Internet,没有固定的公网IP,为了保证VPN客户端
9、随时可以获得总部使用的公网IP,需要在总部使用动态域名解析服务。目前动态域名的服务商很多,有收费的和免费的,其中“花生壳”是一个非常好的免费动态域名解析服务,推荐使用。申请和使用花生壳的大致步骤如下:n 首先登录“花生壳”网站(),申请“花生壳”护照n 申请成功后,进入用户控制台窗口,申请免费域名,并与您所使用的“花生壳”护照进行绑定n 下载“花生壳”客户端程序,安装在VPN网关上(也可以安装在总部局域网内的任意终端上)n 启动“花生壳”客户端程序,在系统登录成功后,您所申请的动态域名即可指向总部宽带路由所获得的公网IP本案例中,我们申请的动态域名为。在配置VPN客户端的隧道策略时,我们将使用
10、它。4. 在分支机构终端上需要完成的配置工作第一步:检查分支机构终端所使用的IP地址保证VPN通讯的一个重要前提是:VPN客户端的IP不能属于VPN网关所保护局域网(总部局域网)网段,否则VPN客户端发出的访问请求将无法被发送至总部VPN网关。所以,在分支机构终端上安装、配置安联防火墙/VPN软件之前,必须检查其当前所使用的IP地址是否符合条件,如果分支机构终端使用的IP地址属于总部局域网网段,那么必须更换。在本案例中,总部局域网网段为192.168.100.0/255.255.255.0,所以,各个远程终端不能使用192.168.100.X的地址。第二步:在分支机构终端上安装安联防火墙/VP
11、N软件n 所有需要访问总部局域网的远程终端都需要安装安联防火墙/VPN软件,安装前的准备工作和详细的安装步骤,请参考附录一“安联防火墙/VPN软件安装详解”n 对于在一个局域网内部的远程终端(通过局域网的宽带路由共享上网),安装过程中,选择“防火墙绑定的网卡”时应选择连接本地局域网所使用的网卡型号n 对于单机ADSL拨号上网的远程终端,安装过程中,选择“防火墙绑定的网卡”时应选择“拨号网络适配器”对于单机ADSL拨号上网的远程终端,如果是Windows XP系统,建议使用XP系统自带的PPPoE程序进行拨号,如果是Windows 2000系统,建议使用RAS PPPoE软件进行拨号(RAS P
12、PPoE拨号软件在很多下载网站中都可以找到)。第三步:对安联防火墙/VPN软件进行系统属性配置n 参考附录二,启动安联防火墙/VPN程序并打开控制台;n 在控制台菜单中执行“文件 属性”命令,打开系统属性窗口,在“局域网”页面中将所有内部网络地址清空(声明本机为单一主机);然后在“中间层调整”页面中输入域名服务器(DNS)地址执行“属性”命令切换到“局域网”页面删除输入栏中的所有内容输入客户端所在地区Internet接入服务商给出的DNS服务器地址点击“是”,完成配置第四步:在分支机构终端上配置VPN隧道策略n 在控制台菜单中选择“IPSec VPN配置导向”,打开VPN配置向导窗口,根据系统
13、提示一步步完成隧道配置,以下是详细配置图示:执行“VPN配置导向”选择“VPN客户端配置”后执行“下步”输入在VPN服务器端为此VPN终端设置的认证用户名和密码,本案例用户名和密码均为abc输入共享密钥,必须与在VPN服务器端输入的共享密钥相同,本案例为123456VPN客户端为单机,所以此处应清空由于VPN客户端是单机,所以此处选择“No Local Net”选择“AES”算法,与VPN服务器端相同选中此选项输入在总部申请并使用的动态域名,本案例为察看VPN客户端的隧道配置,确认无误后点击“保存并生效”,完成VPN隧道配置工作5. 实现VPN通讯当您按照前面所描述的步骤完成总部和分支的配置后
14、,只要总部和分支能够接入互联网且安联防火墙/VPN程序被启动,那么分支的VPN终端会自动与总部的VPN网关建立隧道。查看隧道状态在安联防火墙/VPN程序控制台中可以打开多个用于查看VPN通讯状态的监视窗口,其中“IPSec隧道”、“IPSec协商日志”窗口最为常用,其打开方式如下图所示:点击打开IPSec隧道监视器点击打开IPSec协商监视器n IPSec隧道监视器IPsec隧道监视器窗口如下图所示,内容包括:安全关联(SA)名称、认证用户名、本地VPN网关/主机IP、本地网络、远程VPN网关/主机IP、远程网络、进行IPSec处理时所使用的协议、隧道建立的时间、通过隧道入站/出站的数据总量。
15、在VPN服务器端,IPSec隧道监视器窗口中始终含一条隧道策略模板记录,名称为“road_warrior_template”,该记录以红色图标表示。每当一个远程VPN客户端与此VPN服务器建立隧道成功后,在此窗口中即会出现一条以灰色图标开始的SA记录。在VPN客户端,IPSec隧道监视器窗口中只显示本机使用的隧道信息。在此VPN客户端与VPN服务器之间的隧道建立成功之前,窗口中的隧道记录以红色图标表示;在此VPN客户端与VPN服务器端之间的隧道建立成功之后,窗口中的隧道记录以灰色图标表示。n IPSec协商监视器IPSec协商监视器窗口中详细记录了IKE协商过程,包括双方协商过程的各个步骤、对
16、链路中是否存在NAT设备的检测记录、认证记录、隧道撤消通告、以及在协商过程中出现的所有错误信息。注意:在协商过程中通讯是双向进行的,以“”,“”符号表示。如果在VPN隧道协商过程中,此窗口没有显示任何通讯记录或只显示单向通讯记录,意味着协商过程存在故障“阶段II SA已建立”表示VPN隧道建立成功测试VPN隧道通讯是否正常在VPN终端与总部VPN网关建立了隧道后,可以在VPN终端使用“ping”命令测试能否与VPN网关进行通讯。本案例中,我们可以在VPN终端上ping总部VPN网关的私有IP,即192.168.100.1。如果能Ping通,说明隧道通讯正常,此时VPN终端能够用访问总部局域网内
17、的任意计算机;如果不能Ping通,说明隧道通讯存在故障,可能的原因包括:n VPN隧道没有正确建立。此时需要检查隧道配置和相关的监视窗口,以判断问题所在。n 路由问题导致数据包无法被正确传送。此时需要查看VPN终端的实际IP地址,以及由VPN分配的虚拟IP是否与总部局域网地址同属于一个网段。如果属于同一网段,必须修改VPN终端的IP地址。n 用户在总部VPN网关的内网网卡IP地址属性中配置了默认网关,必须删除。n VPN终端或总部VPN网关上运行了个人防火墙软件,导致全部或部分通讯被阻断。此时,请尝试关闭个人防火墙,但需要注意的是,有些个人防火墙必须在卸载后才能完全解除作用。客户端通过VPN访
18、问总部服务器在VPN隧道正确建立后,分支机构的VPN终端可以访问总部局域网内的任意计算机,如:财务服务器、OA服务器、ERP服务器、文件服务器,等等。访问时,VPN终端访问的目标IP是总部局域网内计算机的私有IP。在本案例中,总部计算机的IP应该是192.168.100.X。注意:对于某些网络应用系统(如用友的U8系统),客户端只能使用服务器的主机名作为访问目标。由于在VPN中,远程终端和总部局域网不在同一个网段,所以远程终端无法通过主机名解析到总部局域网内服务器的IP地址。对此问题,最简单的办法是在客户端上添加Hosts记录,具体做法是:使用“记事本”工具打开“Windows/system3
19、2/drivers/etc”目录下的“Hosts”文件,添加服务器主机名与该服务器IP地址对应的记录。附录一:安联防火墙/VPN软件的安装步骤详解安联防火墙/VPN系统软件将同时作为VPN服务器和VPN客户端软件使用,即VPN服务器和VPN客户端都安装同样的软件,只是在配置VPN隧道时加以区分。安装前的准备工作在安装安联防火墙/VPN系统软件之前,请首先检查主机上是否运行了以下网络层应用程序,如有,请首先卸载它们,并重新启动计算机。n Windows系统的“网络监视器”功能组件n 第三方数据包截获软件n 第三方VPN软件或网络层防火墙软件此外,如主机中运行了以下程序或服务,请在安装安联防火墙/
20、VPN系统软件之前关闭它们,并重新启动计算机。n Windows系统的“路由及远程访问”服务n Windows系统中本地网络或拨号网络所使用的“Internet连接共享”服务n Windows XP/2003系统自带的个人防火墙服务n 第三方应用层防火墙软件(目前,大多数个人防火墙软件都属于应用层放火墙)实际上,Windows XP/2003系统自带的个人防火墙可以与安联防火墙/VPN系统软件同时使用,其它大多数第三方个人防火墙软件(应用层防火墙)亦可以与安联防火墙/VPN系统软件可同时使用。但是,如果同时使用这些个人防火墙软件,需要对其进行特殊的配置,以保证安联防火墙/VPN系统软件能够正常
21、接收VPN通讯数据包,这对于普通用户是十分复杂的工作,而且,安联防火墙/VPN系统软件本身具备十分完善的防火墙功能,可有效阻挡外部的攻击行为,所以我们建议普通用户在使用安联防火墙/VPN系统软件时将计算机中的其它个人防火墙关闭或卸载。安装步骤第一步:选择安装路经及文件拷贝n 执行软件安装程序,进入安装界面n 依据安装导向执行安装步骤。选择程序安装路径,缺省安装路径为:C:Program filesConstic Firewalln 继续依据安装导向执行安装步骤,直至防火墙/VPN程序文件全部拷贝完毕第二步:安装防火墙驱动在完成文件拷贝后,安装程序会自动安装防火墙驱动,同时启动一个DOS窗口,要
22、求用户进行3步选择配置。n 选择防火墙未启动时是否允许IP通过:建议普通用户在此选择选项1并敲击回车键。选项2为高级配置。n 选择防火墙所绑定的网络接口,即与Internet通讯所使用的接口窗口中列出的选项包括当前主机上的全部物理网卡和一个“拨号网络适配器”选项。选择网卡是安联防火墙/VPN软件安装过程中最重要的步骤,通常情况下,用户可根据以下要点做出正确选择:1) 如果安装安联防火墙/VPN软件的计算机使用本地网络接口通过光纤或其它专线方式直接上网,那么应该选择列出的连接公网所使用的本地网卡。2) 如果安装安联防火墙/VPN软件的计算机在一个局域网内(通过普通交换机或无线AP组成的局域网),
23、是通过前置的NAT设备(如:网络防火墙、宽带路由、小区宽带网关、无线路由器等)上网的,那么应该选择列出的连接局域网所使用的本地网卡(线网卡或无线网卡)。3) 如果安装安联防火墙/VPN软件的计算机使用系统内置或第三方PPPoE拨号软件实现ADSL拨号上网,那么应该选择“拨号网络适配器”选项。4) 如果安装安联防火墙/VPN软件的计算机为单机,通过CDMA或GPRS无线上网,那么应该选择“拨号网络适配器”选项。需要注意的是,不是所有的第三方PPPoE拨号软件都能够被安联防火墙/VPN软件所支持,对于操作系统是Windows XP和Windows 2003的ADSL拨号上网单机,我们建议使用系统内
24、置的PPPoE拨号程序;对于操作系统是Windows 2000的ADSL拨号上网单机,我们建议使用RAS PPPoE拨号软件,此程序在网上可以免费下载。n 选择防火墙服务的启动方式建议选择“自动启动”;如在此选择“手动启动”,日后,用户可自行在Windows系统的“服务”配置窗口中将安联防火墙/VPN程序的启动方式改为自动启动,如下图所示。第三步:完成安装,重启计算机在安联防火墙/VPN软件的安装完成后,请重新启动计算机,以保证配置生效。附录二:运行安联防火墙/VPN程序启动安联防火墙/VPN程序如果您在安装过程中将安联防火墙/VPN程序的启动方式设为自动启动,那么安联防火墙/VPN程序将在系
25、统启动时自动启动,如果安装过程中将安联防火墙/VPN程序设为手动启动,您可以使用“安联防火墙VPN”程序组中“启动”命令启动程序(执行“启动”命令后会出现一个DOS运行窗口并马上自动关闭)。启动安联防火墙VPN程序打开控制台在安联防火墙/VPN程序启动后,您既可以使用“安联防火墙VPN”程序组中“控制台”命令打开控制台窗口。打开控制台窗口出现“安联防火墙已启动”的信息表示程序启动成功用鼠标右键单击控制台左边的灰色竖栏,可弹出控制台菜单:如果控制台无法被打开(执行“控制台”命令时出现“等待本地防火墙服务”的提示窗口),这说明安联防火墙/VPN程序启动失败,其原因主要有以下几种:1)安联防火墙/V
26、PN的驱动没有被正确安装2)安联防火墙/VPN所绑定的网络接口被禁用3)安联防火墙/VPN所绑定的网络接口没有设置或没有获得IP地址4)如果使用的是Windows 2000系统,Service Pack 4补丁没有安装5)操作系统中的网络层系统文件被损坏,可能是病毒(或杀毒过程)造成的出现此问题后,如果您无法自行解决,请立即联络北京天创安联公司,以便使问题得到迅速、圆满的解决。查看网络接口是否正确安联防火墙/VPN的控制台包含了若干信息窗口,其中“防火墙服务监视器”窗口显示了安联防火墙/VPN的系统信息,包括:产品版本信息、授权信息、网络接口和内部网络地址信息、被加载的功能组件的运行和配置信息
27、,等等。在首次启动安联防火墙/VPN程序并打开控制台后,应该首先查看防火墙接口是否正确绑定,如果不正确,VPN通讯将无法进行。查看的方法请参考下图所示:此处显示的IP地址是防火墙驱动所绑定的网络接口的IP地址,看其是否正确,如果此处显示的IP地址不是所需要绑定的网卡的IP地址,说明网络接口绑定错误,需要停止程序后重新选择正确的网络接口注意:对于使用PPPoE、CDMA、GPRS拨号程序直接拨号上网的计算机,安装安联防火墙/VPN软件时将防火墙接口选择为“拨号网络适配器”,如果是在未拨号前启动安联防火墙/VPN软件,“防火墙服务监视器”中“防火墙接口”的IP将显示为“1.1.1.1”;如果是在拨号成功后启动安联防火墙/VPN软件,“防火墙服务监视器”中“防火墙接口”的IP将显示系统拨号获得的IP地址。修改防火墙网络接口如果在安联防火墙/VPN软件的安装过程中将防火墙绑定的网络接口选错了,可通过以下方式修改。n 停止安联防火墙/VPN程序,并退出控制台窗口n 在“安联防火墙VPN”程序组中执行“其它工具 更新防火墙接口”命令n 在窗口中选择正确的网络接口编号,并按“回车”键n 重新启动安联防火墙/VPN程序,在“防火墙服务监视器”窗口中查看网络接口是否选择正确。
