目录
一、组网需求
如图所示,某公司内部有一台OA服务器,在外移动办公的工作人员需要通过vpn,拨入到公司内网来对内网服OA服务器进行访问,采用证书认证的方式。
二、网络拓扑
三、配置要点
1、基本上网配置(详细请参见”路由模式上网配置章节“)
2、配置用户
3、NGFW的clientVPN配置
4、定义策略
5、配置PC client客户端
说明:如果要删除IPSEC VPN第一阶段、第二阶段时,需要先删除被调用的路由或防火墙安全策略。
四、配置步骤
1、基本上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
2、配置用户
事先在防火墙上导入VPN的CA证书 CA_cert_1 和防火墙本地证书,具体操作参考 “ VPN--点到点vpn- PKI认证VPN”一节
1)定义PKI用户.
进入:设置用户--PKI--PKI:
2)定义用户组
进入 设置用户--用户组--用户组:
用户组名为: ipsecvpn,添加dialCA用户到该组。
3、NGFW的clientVPN配置
1)配置阶段1
进入:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段1”
配置阶段一的相关参数:如下图
认证方式: RSA签名
证书名称: fw1vpn
对等体选项: dialCA
开启模式配置。起始IP--终结IP为client用户端分配的IP地址范围
c
Xauth: 可选项,是否需要开展过认证。
d.配置通道分隔(可选)
config vpn ipsec phase1-interface
edit "clientdial"
set type dynamic
set interface "wan1"
set authmethod rsa-signature
set xauthtype auto
set mode-cfg enable
set proposal 3des-sha1 aes128-sha1
set rsa-certificate "fw1vpn" //本地证书
set authusrgrp "ipsecvpn" // 认证组
set ipv4-start-ip 10.0.0.0 // IP地址范围
set ipv4-end-ip 10.0.0.100
set ipv4-netmask 255.255.255.0
set dns-mode auto
set ipv4-split-include "192.168.0.0/24" //VPN通道分隔选项
set save-password enable
set client-auto-negotiate enable
set client-keep-alive enable
next
end
2)配置阶段2
进入:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段12”
4、定义策略
1)定义 ipsec 地址池的地址对象:
2)添加策略,定义拨号用户的访问权限:
5、配置PC client客户端
1) 通过CA中心,为client颁发法证书,文件为clent1.p12 。
2)把个人证书和CA证书分别装入Windows的“个人”和“受信任的根证书颁发机构”证书存储区域。
IE internet选项--内容--证书
选择导入:
按如上方式,再讲个人证书导入。
3)配置VPNclient软件
验证范式选择x.509证书, 证书内容选择导入的clinet1/rooca.
拨号成功:
五、检查配置结果
ping 192.168.0.1 。