译自Tiago de Aviz,“Establishing an IPSec site-to-site tunnel betweenan ISA 2004 Firewall and a D-Link DI-804HV IPSec VPN Router”,有部分修改
这个周末我通过配置一个D-link的DI-804HV VPN路由器使用IPSec site-to-site隧道的形式从分公司连接到了公司的ISA防火墙上。这个D-link路由器非常便宜,并且很容易配置,它可以作为一个简单的防火墙,同样的,它允许进入的PPTP和L2TP/IPSec远程VPN连接。
实验环境如下:
ISA部分:
首先,你得确认你的内部网络地址集中包含了整个内部网络。这是非常重要的,因为IPSec策略必须在建立连接的两边都要匹配,否则,连接不会建立。打开你内部网络的属性,如下图:
这个内部网络范围必须包含你整个子网。剩下的就很简单了。
建立一个新的远程站点网络,命名为“Branch Office”:
选择IPSec隧道模式,
输入D-link路由器的外部IP作为远程VPN网关的IP,然后选择ISA Server的外部IP作为本地VPN网关的IP,
在认证页,我们选择预定义的密钥,因为D-link路由器只支持这个:),
点击Next,在下一个屏幕中,加入远程VPN网络的地址集:
结果如下:
最后点击Finish。
现在我们需要建立一个网络规则,命令为“Branch Office”
:
选择“Branch Office”作为它的源网络;
选择后的源网络如下:
选择内部网络作为目的网络,
选择后的目的网络如下:
来路由关系上,选择“Route”,
在完成这个向导后,我们需要建立一个访问策略来允许分公司访问总部的网络,新建一个策略,命名为“Allow Traffic
from Branch Office”,
规则动作选择“Allow”,
协议选择“All outbound traffic”,
这个地方,你可以限制分公司可以访问的服务。
然后,在源网络中,选择“Branch Office”,
选择后的源网络如下:
在目的网络上选择“Internal”,
选择后的目的网络如下:
用户集选择“All Users”,同样,你可以在此对分公司的用户进行限制。
点击完成后,ISA部分的设置就完成了。下面我们来设置D-link部分。
D-Link VPN路由器部分
首先,进入D-link VPN路由器的管理界面,我是使用的静态IP,如下图:
点击“Home”,再点击“VPN”。启用VPN,然后为你的隧道设置一个名字,这个VPN路由器最大可以同时支持50个隧道!
点击“More”,进入隧道的设置,如下图,和ISA Server上的设置相反(注意:图上有误,Local
Subnet应该是10.1.0.0),预定义密钥和ISA Server上设置的一样,点击Apply;
然后我们选择IKE设置,点击“Select IKE Proposal”,如下图。在这儿,我们建立两个具有不同生存周期的IKE状态:
同样的,在IPSec Proposal里面,我们建立对应的IPSec状态,如下图,点击Apply
现在我们可以ping公司总部的网络,测试这个IPSec site-to-site VPN的连通性,
连接是正常的。
如果你点击VPN Status,你可以观察到VPN的连接状态。
最后,请你记住,IPSec可以通过NAT设备,还有本地和远程网络在VPN的两端必须保持一致。
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)