概述
随着企业业务日益扩大,移动办公的需求越来越明显,办公人员需要在远离公司总部的任何一个地方都要能方便、安全的连接到总部处理与业务相关的任何事情,例如家庭办公、出差员工远程办公等。但在网络安全威胁日益严重的今天,移动办公系统的安全更是一个不容忽视的重要问题。
TP-LINK提供的IPsec VPN PC到站点解决方案能很好的满足移动性的要求,而且相比于PPTP/L2TP,IPsec VPN PC到站点解决方案提供更高的安全性。
需求介绍
某公司总公司位于深圳,经常还有员工出差到全国各地,现需要组建一个网络,出差员工都能够安全的访问公司内部邮件服务器和文件服务器,本文将以TL-ER6120为例来展示IPSec VPN PC到站点解决方案的配置过程。
配置IPSec VPN PC到站点,在PC上需要使用第三方IPSEC客户端,本文以“TheGreenBow VPN Client”为例
网络拓扑
总部配置IPSEC PC到站点隧道,出差员工采用IPSEC客户端连接总部。
设置步骤
先配置总部路由器上的IPSEC PC到站点隧道。
1. 配置IKE安全提议:VPN→IKE,进入“IKE安全提议”标签页,选择合适的验证、加密算法以及DH组并点击“新增”。
2. 配置IKE安全策略:VPN→IKE,进入“IKE安全策略”标签页。
l ID类型:身份认证的类型,为便于处于NAT下面的客户端正常连上路由器,建议选择NAME。
l 安全提议:选择在“IKE安全提议”中创建的安全提议名称。
l 预共享密钥:设置IKE认证的预共享密钥,通信双方的预共享密钥必须相同。
l DPD检测:Dead Peer Detect,检测对端在线状态,建议启用。
3. 配置IPsec安全提议:VPN→IPsec,进入“IPsec安全提议”标签页,输入IPsec安全提议名称,选择合适的安全协议以及验证算法并点击“新增”。
4. 配置IPsec安全策略:VPN→IPsec,进入“IPsec安全策略”标签页。
l 安全策略名称:设置IPsec安全策略名称。
l 组网模式:设置连接到路由器的对端为PC或站点,此处为“PC到站点”
l 本地子网范围:设置本地子网范围,即深圳总部局域网“192.168.1.0 /24” 。
l 对端主机:客户机无固定IP地址故保持默认的0.0.0.0 。
l 协商方式:协商方式分为IKE协商和手动模式两种,手动模式需要用户手工配置密钥、SPI等参数;而IKE方式则由IKE自动协商生成这些参数,本文使用的客户端仅支持IKE协商。
l IKE安全策略:选择所配置的IKE安全策略。
l 安全提议:选择配置的IPsec安全提议。
l PFS: 用于IKE协商方式下设置IPsec会话密钥的PFS属性,本地与对端的PFS属性必须一致。
l 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。
设置好后点击“新增”,此时深圳总部的路由器已配置完毕。接下载配置移动办公人员的客户端。
5. 安装客户端:下载我司路由器IPSEC VPN 客户端软件“TheGreenBow VPN Client”并安装。
一路点击“下一步”即可安装完成,安装完成后需要重启计算机。
6. 运行客户端并打开配置界面:重启计算机后客户端会自动运行,或者双击桌面的快捷方式亦可。首次运行客户端需要激活软件,此软件为收费软件,可以点击“购买许可”来激活,授权费用约为5许可189欧元,10许可349欧元。亦可点击“我要评估软件”进行30天使用。成功运行后界面如下:
右击状态栏的客户端图标并点击“配置面板”即可开始配置。
7. 配置客户端第一阶段:点击第一阶段面板“tgbtest”进入第一阶段配置“验证”标签页。
l 远端网关:路由器开启PC到站点IPsec VPN的WAN口IP或域名。
l 预共享密钥:第一阶段IKE协商的预共享密钥,与总部路由器“IKE安全策略”中相同。
l IKE:IKE安全策略,与与总部路由器“IKE安全策略”中相同。
进入“高级”标签页,设置本地及远端ID,ID类型跟路由器中相同,都为NAME,此处叫“DNS”,填写ID数值,总部路由器和客户端的“本地ID”和“远端ID”的数值需要互换。