vpn信道连接为2台vpn路由器分别通过网际网络internet所组成,当您按下新增一条隧道的话,将会直接导引到vpn网关对vpn网关的设定或客户端对vpn网关的设定的页面上。
网关对网关设定(gateway to gateway):
当您按下新增“add now”的话,将会直接导引到vpn网关对vpn网关的设定页面上。
客户端对网关(client to gateway):
当您按下新增“add now”的话,将会直接导引到客户端对vpn网关的设定页面上。
5.1.2.1.网关对网关的设定(gateway to gateway-vpn)
透过以下的设定说明,使用者就可以在两台qvm660之间建立一条vpn信道。
隧道编号:当您设定qvm660内建之vpn功能时,请选择您要设定的tunnel信道编号,qvm660可支持最高200条vpn信道设定
vpn接口地址:您可以选择哪一个接口位置做为此vpn信道的节点,一开始的默认wan端共有四个wan1~4可作为此vpn信道的使用
隧道名称:设定此信道连接名称,如xxx office,建议您若是有一个以上的信道设定的话,务必将每一个信道名称都设为不同,以免混淆
此信道名称若是您需要连接其它vpn设备(非qvm660)时,有一些设备规定此信道名称要与主控端为相同名称并做验证,此信道才会顺利联机开启!。
激活:勾选激活选项,将此vpn信道开启。此项目为默认为激活,当设定完成后,可以再选择是否激活信道设定
近端网关安全群组设定(local group setup):
此项目的近端网关安全群组设定(local security gateway type)类型必须与连接远程的网关安全群组设定(remote security gateway type)类型相同。
local security gateway type:区域端群组设定,有五种操作模式项目选择,分别为:
ip only-只使用ip作为认证
ip+domain name(fqdn)authentication,-ip+网域名称
ip+e-mail addr。(user fqdn)authentication,-ip+电子邮件
dynamic ip+domain name(fqdn)authentication,-动态ip地址+网域名称
dynamic ip+e-mail addr。(user fqdn)authentication。动态ip地址+电子邮件名称
此项目的近端网关安全群组设定(local security gateway type)类型必须与连接远程的远程网关安全群组设定(remote security gateway type)类型相同。
(1)ip only:
若您选择ip only类型的话,只有固定填入此ip地址可以存取此信道,然后qvm660的wan ip地址,将会自动填入此项目空格内,您不需要在进行额外设定。
(2)ip+domain name(fqdn)authentication:
若您选择ip
+网域名称类型的话,请输入您所验证的网域名称以及ip地址然后qvm660的wan ip地址,将会自动填入此项目空格内,您不需要在进行额外设定。fqdn是指主机名称以及网域名称的结合,也必须存在于internet上可以查询的到,如vpn.server.com。此ip地址以及网域名称必须与远程的vpn安全网关设定类型相同才可以正确连接。
(3)ip+e-mail addr。(user fqdn)authentication:
若您选择ip地址加上电子邮件类型的话,只有固定填入此ip地址以及电子邮件位置可以存取此信道,然后qvm660的wan ip地址,将会自动填入此项目空格内,您不需要在进行额外设定。
(4)dynamic ip+domain name(fqdn)authentication:
若是您使用动态ip地址连接qvm660时,您可以选择此类型连接vpn,当远程的vpn网关要求与qvm660作为vpn联机时,qvm660将会开始验证并响应此vpn信道联机;若您选择此类型连接vpn,请输入网域名称即可。
(5)dynamic ip+e-mail addr。(user fqdn)authentication:
若是您使用动态ip地址连接qvm660时,您可以选择此类型连接vpn,使用者不必输入ip地址,当远程的vpn网关要求与qvm660作为vpn联机时,qvm660将会开始验证并响应此vpn信道联机;若您选择此类型连接vpn,请输入电子邮件认证到e-mail位置空格字段中即可。
local security group type:此为设定本地区域端的vpn联机安全群组设定,以下有几个关于本地区域端设定的项目,请您选择并设置适当参数:
(1)ip地址
此项目为允许此vpn信道联机后,只有输入此ip地址的本地端计算机可以联机。
以上的设定参考为:当此vpn信道联机后,于192.168.1.0~255的此网段的ip地址范围的计算机可以联机。
(2)subnet
此项目为允许此vpn信道联机后,每一台于此网段的本地端计算机都可以联机。
以上的设定参考为:当此vpn信道联机后,只有192.168.1.0,子网掩码为255.255.255.192的此网段计算机可以与远程vpn联机。
远程安全群组设定(remote group setup):
此项目的远程网关安全群组设定(remote security gateway type)类型必须与连接远程的近端网关安全群组设定(local security gateway type)型态相同。
remote security gateway type:远程安全群组设定,有五种操作模式项目选择,分别为:
ip only-只使用ip作为认证
ip+domain name(fqdn)authentication,-ip+网域名称
ip+e-mail addr。(user fqdn)authentication,-ip+电子邮件dynamic ip+domain name(fqdn)authentication,-动态ip地址+网域名称
dynamic ip+e-mail addr。(user fqdn)authentication。动态ip地址+电子邮件名称
(1)ip only:
若您选择ip only类型的话,只有固定填入此ip地址可以存取此信道,
若是使用者不知道远程客户的ip地址,则可以通过网域名称转换dns resolve来将dns转成ip地址。并且在设定完成后在summary的远程网关下面显示出相对应的ip地址。
(2)ip+domain name(fqdn)authentication:
若您选择ip+网域名称类型的话,请输入ip地址以及您所验证的网域名称fqdn是指主机名称以及网域名称的结合,使用者可以输入一个符合fqdn的网域名称即可。此ip地址以及网域名称必须与远程的vpn安全网关设定类型相同才可以正确连接。
若是使用者不知道远程的ip地址,则可以通过网域名称转换dns resolve来将dns转成ip地址。此网域名称必须存在internet上可以查询的到。并且在设定完成后在summary的远程网关下面自动显示出相对应的ip地址。
(3)ip+e-mail addr。(user fqdn)authentication:
若您选择ip地址加上电子邮件类型的话,只有固定填入此ip地址以及电子邮件位置可以存取此信道,
若是使用者不知道远程客户的ip地址,则可以透过网域名称转换dns resolve来将dns转成ip地址。并且在设定完成后在summary的远程网关下面显示出相对应的ip地址。
(4)dynamic ip+domain name(fqdn)authentication:
若是您使用动态ip地址连接qvm660时,您可以选择动态ip地址加上主机名称以及网域名称的结合。
(5)dynamic ip+e-mail addr。(user fqdn)authentication:
若是您使用动态ip地址连接qvm660时,您可以选择此类型连接vpn,当远程的vpn网关要求与qvm660作为vpn联机时,qvm660将会开始验证并响应此vpn信道联机;请输入电子邮件认证到e-mail位置空格字段中。
remote security group type:此为设定本地区域端的vpn联机安全群组设定,以下有几个关于本地区域端设定的项目,请您选择并设置适当参数:
(1)ip地址
此项目为允许此vpn信道联机后,只有输入此ip地址的本地端计算机可以联机。
以上的设定参考为:当此vpn信道联机后,于192.168.1.0~255的此网段的ip地址范围的计算机可以联机。
(2)subnet
此项目为允许此vpn信道联机后,每一台于此网段的本地端计算机都可以联机。
以上的设定参考为:当此vpn信道联机后,只有192.168.1.0,子网掩码为255.255.255.192的此网段计算机可以与远程vpn联机
(3)ip range
此项目为允许此vpn信道联机后,只有输入此ip地址范围的本地端计算机可以联机
以上的设定参考为:当此vpn信道联机后,只有192.168.1.0到192.168.1.254的ip地址范围的计算机可以联机。
ipsec setup
若是任何加密机制存在的话,此两个vpn信道的加密机制必须要相同才可以将此信道连接,并于传输资料中加上标准的ipsec密钥,我们称为加密密钥“key”。qvm660提供了以下二种加密管理模式key management,分别为手动(manual)以及ike自动加密模式- ike with preshared key(automatic),你可以通过下拉菜单选择需要的加密模式如下图所示。
key management:
此选项设定为当您设定此vpn信道使用何种加密模式以及验证模式后,必须设定一组交换密码,并请注意此参数必须与远程的交换密码参数相同;设定的方式有自动auto(ike)或是手动manual设定二种,于设定时请您选择其中一种设定方式即可!
ike with preshared key(automatic):
透过ike产生共享的金钥来加密与验证远程的使用者。若将pfs(perfect forward secrecy)激活后,则会再第二阶段的ike协调过程产生的第二把共同金钥做进一步加密与验证。当pfs激活后,透过brute force来撷取金钥的骇客(hacker)无法在此短时间内,进一步得到第二把金钥。
1 pfs(perfect forward secrecy):若您将pfs选项勾选后,记得另外的远程vpn设备或是vpn client也要将pfs功能开启。
2 phase1/phase2 dh group:于此选项可以选择采用diffie-hellman群组方式:group1或是group2/group5。
3 phase1/phase2 encryption:此加密选项设定为设定此vpn信道使用何种加密模式,并请注意设置此参数必须与远程的加密参数相同:des:64-位加密模式、3des:128-位加密模式、aes:用安全码进行信息加密的标准,它支持128位、192位和256位的密匙。
4 phase1/phase2 authentication:此验证选项设定为设定此vpn信道使用何种验证模式,并请注意设置此参数必须与远程的验证模式参数相同:“md5”或“sha1”。
5 phase1 sa lifetime:为此交换密码的有效时间,系统默认值为28800秒(8小时),于此有效时间内的vpn联机,系统会自动的将于有效时间后,自动的生成其它的交换密码以确保安全。
6 phase2 sa lifetime:为此交换密码的有效时间,系统默认值为3600秒(1小时),于此有效时间内的vpn联机,系统会自动的将于有效时间后,自动的生成其它的交换密码以确保安全
7 preshared key:于auto(ike)选项中,您必须输入一组交换密码于“pre-shared key”的字段中,在此的范例设定为test,您可以输入数字或是文字的交换密码,系统将会自动的将您输入的数字或是文字的交换密码自动转成vpn信道连接时的交换密码与验证机制;此数字或是文字的交换密码最高可输入30个文字组合。
manual-手动方式
若您选择手动模式manual的话,此提供您自定加密密钥,而此密钥不需经过任何交握(negotiation)。
1 于此分成加密密码“encryption key”以及验证密码“authentication key”二种,您可以输入数字或是文字的交换密码,系统将会自动的将您输入的数字或是文字的交换密码自动转成vpn信道连接时的交换密码与验证机制;此数字或是文字的交换密码最高可输入23个文字组合。
2 另外还需要设定“inbound spi”的交换字符串以及“outbound spi”交换字符串,此字符串必须与远程vpn设备连接时相同;于此的inbound spi设定参数,您必须在远程的vpn设备的outbound spi设定相同字符串,而于本地端的outbound spi设定字符串,也必须与在远程的vpn设备的inbound spi设定相同字符串!
advanced(进阶作业模式)-只供给使用自动交换密钥模式使用(ike preshareed key only)
在qvm660的进阶设定项目中,分别有main mode以及aggressive。模式,main mode是qvm660的默认vpn作业模式,而且与大多数的其它vpn设备使用连接方式为相同。
1 aggressive mode:大多为远程的设备采用,如使用动态ip连接时,是为了加强其安全控管机制。
2 compress:若选择此项目勾选,则连接的vpn信道中qvm660支持ip表头型态的压缩(ip payload compression protocol)。
3 keep-alive:若选择此项目勾选,则连接的vpn信道中会持续保持此条vpn连接不会中断,此使用多为分公司远程节点对总部的连接使用,或是无固定ip地址的远程使用。
4 ah hash algorithm:ah(authentication header)验证表头封包格式,可选择md5/dsha-1。
5 netbios broadcast:若选择此项目勾选,则连接的vpn信道中会让netbios广播封包通过。,有助于微软的网络邻居等连接容易,但是相对的占用此vpn信道的流量就会加大!
6 dead peer detection(dpd):若选择此项目勾选,则连接的vpn信道中会定期的传送hello/ack讯息封包来侦测是否vpn信道的两端仍有联机存在。当有一端断线则qvm660会自动断线,然后再建立新联机。使用者可以选择每一次dpd讯息封包传递的时间,默认值为10秒。
5.1.2.2.客户端对网关的设定(client to gateway-vpn)
透过以下的设定说明,管理人员就可以在客户端与qvm660之间建立一条vpn信道。
用户可以选择这一条vpn信道在客户端是只供一个客户所使用(tunnel)或者是由一群客户所使用(group vpn)。若由一群客户所使用则可以节省个别设定远程的客户,只需设定的一条信道供一组客户所使用,以节省设定时的麻烦。
(1)在tunnel的情况:
隧道编号:当您设定qvm660内建之vpn功能时,请选择您要设定的tunnel信道编号,qvm660可支持最高200vpn信道设定。
vpn接口地址:您可以选择哪一个接口位置做为此vpn信道的节点,一开始的默认wan端共有四个wan1~4可作为此vpn信道的使用。
隧道名称:设定此信道连接名称,如xxx office,建议您若是有一个以上的信道设定的话,务必将每一个信道名称都设为不同,以免混淆
此信道名称若是您需要连接其它vpn设备(非qvm660)时,有一些设备规定此信道名称要与主控端为相同名称并做验证,此信道才会顺利联机开启!。
激活:勾选激活选项,将此vpn信道开启。此项目为默认为激活eanble,当设定完成后可以再选择是否激活信道设定。
local group setup-近端服务端
此项目的近端网关安全群组设定(local security gateway type)类型必须与连接远程的网关安全群组设定(remote security gateway type)类型相同。
local security gateway type:区域端群组设定,有五种操作模式项目选择,分别为:
ip only-只使用ip作为认证
ip+domain name(fqdn)authentication,-ip+网域名称
ip+e-mail addr。(user fqdn)authentication,-ip+电子邮件
dynamic ip+domain name(fqdn)authentication,-动态ip地址+网域名称
dynamic ip+e-mail addr。(user fqdn)authentication。动态ip地址+电子邮件名称
(1)ip only:
若您选择ip only类型的话,fvr 9416会依据你所选择的广域端口位置将其ip自动填入此项目空格内,您不需要在进行额外设定。
(2)ip+domain name(fqdn)authentication:
若您选择ip+网域名称类型的话,请输入您所验证的网域名称,qvm660的wan ip地址,将会自动填入ip地址项目内,您不需要在进行额外设定。fqdn是指主机名称以及网域名称的结合,也必须存在于internet上可以查询的到,如vpn。server。com。此ip地址以及网域名称必须与远程的vpn安全网关设定类型相同才可以正确连接。
(3)ip+e-mail addr.(user fqdn)authentication:
若您选择ip地址加上电子邮件类型的话,只要将电子邮件位置填入,然后qvm660的wan ip地址,将会自动填入此项目空格内,您不需要在进行额外设定。
(4)dynamic ip+domain name(fqdn)authentication:
若是您使用动态ip地址连接qvm660时,您可以选择此类型连接vpn,当远程的vpn网关要求与qvm660作为vpn联机时,qvm660将会开始验证并响应此vpn信道联机;若您选择此类型连接vpn,请输入网域名称即可
(5)dynamic ip+e-mail addr。(user fqdn)authentication:
若是您使用动态ip地址连接qvm660时,您可以选择此类型连接vpn,使用者不必输入ip地址,当远程的vpn网关要求与qvm660作为vpn联机时,qvm660将会开始验证并响应此vpn信道联机;请输入电子邮件认证到e-mail位置空格字段中即可。
local security group type:此为设定本地区域端的vpn联机安全群组设定,以下有几个关于本地区域端设定的项目,请您选择并设置适当参数:
(1)ip地址(单一ip地址)
此项目为允许此vpn信道联机后,只有输入此ip地址的本地端计算机可以联机。
以上的设定参考为:当此vpn信道联机后,于192.168.1.0~255的此网段的ip地址范围的计算机可以联机。
(2)subnet
此项目为允许此vpn信道联机后,每一台于此网段的本地端计算机都可以联机。
以上的设定参考为:当此vpn信道联机后,只有192.168.1.0,子网掩码为255.255.255.192的此网段计算机可以与远程vpn联机。
remote client setup-远程客户端设定:
此项目的远程网关安全群组设定(remote security gateway type)类型必须与连接远程的近端网关安全群组设定(local security gateway type)类型相同。
remot client:远程客户设定,有五种操作模式项目选择,分别为: