首先仍然先聊下情景。

设备:Watchguard-X505e

接入方式:常规二层运营商接入,下游一台二层交换机

需求:客户需要在出差时候,使用×××拨入内网进行作业。


说俩句,客户这样的需求,在现实情况中是很常见的。比如;SSG-L2TP、Cisco-easy***等等,只是这个国外的设备,日常接触较少。配置起来相当没思路。自己手上有几个使用此款防火墙的客户,所以此次特意拿了点做一些分享。


好,直接上菜。

【怎么登陆,怎么连接,怎么进入配置界面,太小白的操作,我就不介绍了】

第一步:×××-mobile *** –Ipsec

wKiom1bBhAnCw2FGAACI0ayP5S4431.png


wKiom1bBhAnx6dbXAABntf-m7fE055.png


第二步:ADD 新建-下一步即可:

wKioL1bBhJ3CclFuAACbdLfpixg412.png


第三步:创建用户group组,选择firebox-DB(即等同于SWlocal-aaa)并命名;下一步

wKiom1bBhGPiV5oJAABkpt3ifwk727.png


第四步:选择隧道认证方式:user this passphrase (使用静态密码),下一步

wKioL1bBhN-BOuB2AABpEt7N74k550.png


第五步,即定义mobile***拨上后,终端的流量如何走向,第一个是自定义流量走向(安全性低,扩展新强),第二个是强制所有的流量走×××隧道(安全性高,扩展性低)

wKiom1bBhLLADVxzAABlvEg4RYE596.png


第六步:定义移动拨入的×××用户可以访问的地址段:

wKioL1bBhefjazYMAABZU86vpO0054.png


第七步:定义移动用户拨入后获取虚拟地址池:

wKioL1bBhlKzZJ_kAABTenLERgU002.png

wKiom1bBhfGy_GFuAABch-hbtN8465.png


第八步:mobile-***配置完成:

wKiom1bBhi-QEYK0AAClnXLbt-8752.png


第九步:

这时候回到配置的主界面可以看到,×××策略已经建立完成。显示如下:

wKiom1bBhlriEBeKAABusXwi57A448.png


第十步:

现在要做的就是添加×××拨入的用户+密码:

选择modify policy

wKiom1bBhnrTrHz9AABirkWRTpA790.png


第十一步:

点开modify policy后可以看到如下界面:

Allowed resource :×××用户允许访问的目的网段

Specify users :×××用户【即我们SSG系列中的USER选型】

wKioL1bBhvWxsmSAAABru-dj2rk854.png


第十二步:

点击specify user 后显示如下界面,即使用firebox的本地数据库。点击ADD

wKioL1bBhyTTB4LdAAAabVKyomY674.png

第十三步:

以下qujun为之前创建过的用户可忽略,点击ADD

wKiom1bBhsPxz-KyAAATVFgFX0U132.png



第十四步:

在firebox-DB(本地数据库)中创建用户。

User:用户
user group :之前创建用户组-mobile***

点击ADD

wKiom1bBhuiBo63LAAB3fF7OZ4o794.png


第十五步:

创建用户名和密码:

Name:用户名
description:描述
passphrase:密码
confirm:密码确认
session timeout:会话超时
idle timeout:初始化时间

wKiom1bBhx_wHk7cAABUy3lw3Gk382.png


第十六步:

添加完成:点击确认即可

wKioL1bBh5KQt5l0AAAVRuRCp5A137.png


第十七步:

选择新创建的用户allen,确认即可

wKiom1bBh1aBp3cSAAAaYJxPTZ8361.png

别忘记在右上角保存配置文件。

wKioL1bBh7jT_y_9AAAolLTbZFE904.png


此时整个mobile***配置全部结束。可以开始进行导入拨号了。


watchguard的×××拨入,需要下载特定的客户端软件,软件比较难找,若实在没办法找到,可以留言给我,我邮件发给你。


因为watchguard的×××拨入前需要导入等操作,该教程择日进行独立讲解。感谢各位的光临,不喜勿喷