恢复出厂设置:点击该处将清除所有的设定档。
名称:这里显示lan-to-lan设定档里用户名 一栏内的字符。如果你在该栏里什么都没有输入,将显示默认的符号??? 。
状态:显示该设定档是否被启用了。符号v表示设定档已经启用,符号x表示设定档已经禁用。
单击索引值号可以进入lan-to-lan设定档。每个lan-to-lan设定档包含四个部分:一般设定、拨出设定、拨入设定和tcp/ip网络设定。以下将详细介绍这四个部分的设定。
设定档名称:为该设定档设定一个名字,便于区分其它设定档。
启用此设定档:要启用此设定档必须勾选此选项。
拨叫方向:选择该设定档建立vpn的方向。
双向 - 该设定档的拨出设定部分和拨入设定部分均被启用,vigor路由器即能主动拨vpn连接到远端vpn路由器,又能接受远端vpn路由器拨入的vpn连接。
拨出 - 仅拨出设定部分被启用,使用此设定档vigor路由器只能主动拨vpn到远端vpn路由器,不能做为vpn服务器接受拨入的vpn连接。
拨入 - 仅拨入设定部分被启用,使用此设定档vigor路由器只能接受远端vpn路由器拨入的vpn,不能主动拨出vpn连接。
一直在线或闲置超时:一直在线 - 启用该功能后,只要vpn连接还未建立,vigor路由器就会以固定的时间间隔不断尝试连接,直到vpn连接建立。连接建立后,会保持该连接一直在线,除非连接被手动断开或由于线路问题导致断线。并且一旦vpn连接断开,vigor路由器就又开始不断尝试连接。该选项仅对拨出方向的vpn有效,所以启用该功能后,拨叫方向会被自动设定为拨出。另外,该功能被启用后,闲置超时会被自动设为-1,并且变成不可设置。
闲置超时 - 如果没有任何数据传输通过这条建立好的vpn隧道超过“闲置超时”规定的时间,路由器将断掉该连接。默认设置是300秒,如果你不想有此时间限制,请将该值设为0秒。
启用ping以维持在线:启用该功能并在指定ip地址 栏里输入远端vpn网络里的一个可以ping通的ip地址。当该ip地址ping不通的时候,vigor路由器即认为该vpn隧道已经无效,便会将该连接断开。该功能是专门为ipsec设计的,而对pptp,l2tp和应用ipsec策略的l2tp是无效的。因为pptp,l2tp和应用ipsec策略的l2tp这类基于ppp的vpn连接会使用相关的ppp机制来实时侦测vpn连接的状态,而ipsec只能在重新交换密钥的时候发现对端是否还存在,由于重建密钥的时间间隔一般都是一个小时以上,ipsec无法实时侦测vpn连接的状态。使用该功能就能帮助ipsec快速发现并断开有问题的vpn连接。注意,此功能独立于dpd(dead peer detection)功能。
指定ip地址:输入远端vpn网络里的一个可以ping通的ip地址。
isdn:建立isdn lan-to-lan vpn连接。您还需要为vpn拨出端设定连接类型、用户名和密码来进行安全认证。您也可以进一步设定回拨功能。
pptp:建立pptp lan-to-lan vpn连接。 您还需要为vpn拨出端设定用户名和密码来进行安全认证。
ipsec隧道:建立ipsec lan-to-lan vpn连接。
应用ipsec策略的l2tp:建立l2tp/ipsec lan-to-lan vpn连接。您可以选择单独使用l2tp或者应用ipsec策略的l2tp:
无 – 建立单纯的l2tp vpn。
最好使用 – 如果拨入端的设定也是应用ipsec策略的l2tp,则启用ipsec,否则建立单纯的l2tp vpn连接。
一定要有 – 拨入端必须使用应用ipsec策略的l2tp,而不能使用单纯的l2tp vpn连接。
用户名:为vpn拨出端用户设置用户名。当您选择的vpn模式为isdn, pptp 或l2tp时必须设置此项。
密码:为vpn拨出端用户设置密码。当您选择的vpn模式为isdn, pptp 或l2tp时必须设置此项。
ppp验证:仅pap - 若选择该设置,那么在vpn建立的ppp协商阶段,将只支持使用pap协议进行认证。
pap/chap - 若选择该设置,那么vigor路由器支持以下任意一种验证协议:ms-chapv2,ms-chapv1,chap,pap。具体使用哪一种由vpn服务器决定。推荐选择此设定。
vj压缩:它用于tcp/ip协议头的压缩,可以稍微节省一点带宽。建议使用默认设定开启。
ike认证方法:这里的设置只适用于ipsec vpn和应用ipsec策略的l2tp vpn。
预共享密钥 - 输入1-63个字符作为预共享密钥。
数字签名(x.509) – 选择一个在ipsec端点id中设定好的id帐号。
ipsec安全方法 :这里的设置只适用于ipsec vpn和应用ipsec策略的l2tp vpn。
中等(ah) 数据将被认证,但不会被加密。
高等(esp) 数据将被认证和加密,下拉菜单里有6个选项:
des无验证
des 有验证
3des无验证
3des有验证
aes 无验证
aes有验证
无验证指的是不使用md5或sha1认证算法。当选择有验证的时候,vigor将发送两个提议,按先后顺序是sha1,md5。譬如,若你选择了3des有验证,vigor将先后发送3des+sha1和3des+md5到远端vpn服务器。
高级:按此按钮,在弹出窗口里可以进行ike高级设定
ike第一阶段模式 - 可以选择主模式(main mode)或积极模式(aggressive mode)。该设定必须匹配vpn服务器的设定。注意:如果选择了积极模式,必须配置本地id;若没有,则不要配置本地id。
ike第一阶段提议 - 在第一阶段(phase 1),vigor支持的加密算法是des和3des;支持的认证算法是md5和sha1;支持的dh组是group 1(768-bit)和group 2(1024-bit)。这些参数的组合总共有8组,在下拉菜单里你可以单独选择一组,它必须与vpn服务器的相关设定匹配。此外vigor还提供了一个包含了4组提议的选项(des_md5_g1 / des_sha1_g1 / 3des_md5_g1 / 3des_md5_g2),在vpn建立过程中,vigor将发送这四个提议给vpn服务器,这四个提议中,第一个匹配vpn服务器设定的组将被vpn服务器采用。当你不确定vpn服务器的配置的时候,可以选择该选项。
ike第二阶段提议 - 支持的认证算法是md5和sha1
ike第一阶段密钥有效时间 - 设定第一阶段的密钥存活时间,时间一到,ike将协商一个新的密钥。单位是秒,有效值是900秒到86400秒,默认值是28800秒。
ike第二阶段密钥有效时间 - 设定第二阶段的密钥存活时间,时间一到,ike将协商一个新的密钥。单位是秒,有效值是600秒到86400秒,默认值是3600秒。
完全机密转发(pfs) - 启用该功能将在第二阶段引入一个新的dh密钥交换,从而提供了更强的安全性。通常是不需要pfs的,因为危及加密或认证密钥安全性的可能性很小,而且启用pfs也会影响ipsec的速度。如果vpn服务器要求使用pfs,请点选启用。
本地id - 只有在ike第一阶段模式是积极模式(aggressive mode)的时候才需要设定本地id。它的格式可以是email地址,域名或字符串。该id必须匹配vpn服务器里的相关设定,如果远端vpn服务器是vigor路由器,对应的值是服务器拨入设定里的端点(peer)id。该id的长度被限制在47个字节以内。
回拨功能(仅用于i型号):回拨功能为isdn拨入用户提供了回拨服务。
要求远端回拨 - 启用此选项后可以让本地路由器发出请求,使之后的连接由vpn另一端回拨。
提供isdn号码给远端 - 如果在vpn另一端的路由器需要知道本地路由器isdn号码的情况下要开启此选项。随后路由器会发送本地的isdn号码给vpn远端的路由器。
允许拨入的类型:确定允许拨入的vpn类型。
isdn :允许远端拨入的isdn lan-to-lan vpn连接。您还需要为vpn拨出端设定用户名和密码来进行安全认证。您也可以进一步设定回拨功能。
pptp:允许远端拨入的pptp lan-to-lan vpn连接。 您还需要为vpn拨出端设定用户名和密码来进行安全认证。
ipsec隧道:允许远端拨入的ipsec lan-to-lan vpn连接。
应用ipsec策略的l2tp:允许远端拨入的l2tp/ipsec lan-to-lan vpn连接。 您可以选择单独使用l2tp或者应用ipsec策略的l2tp:
无 – 建立单纯的l2tp vpn。
最好使用 – 如果拨入端的设定也是应用ipsec策略的l2tp,则启用ipsec,否则建立单纯的l2tp vpn连接。
一定要有 – 拨入端必须使用应用ipsec策略的l2tp vpn,而不能使用单纯的l2tp vpn连接。
指定远端vpn网关
端点vpn服务器ip
或 端点ip:如果拨入的vpn类型是pptp、l2tp或ipsec主模式(main mode),那么该选项是可选的。如果拨入的vpn类型是ipsec积极模式(aggressive mode),那么该选项是必选的。
该功能默认是禁用的,也就是说任何远端用户(特别是使用动态ip地址的用户)都可以使用此设定档的设置建立vpn到vigor路由器。
如果为了安全性需要限制特定的用户才能拨入vpn,你可以启用指定远端节点功能,并在端点(peer)vpn服务器ip栏里填入该特定vpn服务器的公网ip地址。这样,即使其他用户的设置都匹配此设定档,由于他们的公网ip地址不被允许拨入,他们也无法建立vpn连接。如果拨入的vpn类型是ipsec积极模式,必须启用此功能,并在端点id栏里设置一个id(不需要设置端点(peer)vpn服务器ip)。id的格式可以是email地址,域名或字符串。这个id在远端vpn路由器里也要输入,如果远端vpn路由器也是vigor,对应的值是拨出设定里的本地id。 如果之前拨入类型选择isdn则在开启此选项后,请在空白栏输入vpn远端路由器的isdn号码。
如果您没有选择此选项,那么该条lan to lan vpn的认证方式和安全方法将使用在ipsec基本设定里面所设定的值。
用户名:当您选择的vpn模式为isdn, pptp 或l2tp时必须设置此项,该用户名必须匹配远端vpn路由器上的相关设定。
密码:当您选择的vpn模式为isdn, pptp 或l2tp时必须设置此项, 密码必须匹配远端vpn路由器上的相关设定。
vj压缩:它用于tcp/ip协议头的压缩,可以稍微节省一点带宽。建议使用默认设定:开启。
ike认证方法:一旦启用了指定远端vpn网关功能,就必须为此设定档单独配置ike认证方法和ipsec安全方法。这里的设定与ipsec基本设定里的设置在功能上是一样的,只不过它被限定只能用于指定的用户。这里的设置适用于ipsec vpn和应用ipsec策略的l2tp vpn。 但是即使指定远端vpn网关没有被启用,您仍然可以编辑数字证书的设定。
预共享密钥 - 输入预共享密钥。必须和vpn拨出端的设定相同。
数字签名(x.509) – 选择一个在ipsec端点认证中设定好的peer id项。
ipsec安全方法:选择允许的ipsec安全方法。注意:该设定仅用于ipsec第二阶段的协商。
中等(ah) - 数据将被认证,但不会被加密。默认该选项被启用。
高等(esp) - 数据将被认证和加密。这里我们支持des,3des和aes加密方式。默认所有选项都被启用。
回拨功能:回拨功能为isdn拨入用户提供了回拨服务。
启用回拨功能 - 启用回拨功能。
使用以下号码回拨 - 此项设定是为了增加安全性,一旦启用此选项,路由器只会对该特定的回拨号码回拨。
回拨定额(单位:分钟)- 定义远端拨入用户的时间资费,该资费会随着每次回拨连接而递减。回拨功能有一个时间限制,一旦回拨资费被耗尽,则回拨功能将自动停止。
以下两个设定仅用于ppp相关的vpn连接,包括pptp,l2tp,应用ipsec策略的l2tp,如果是纯ipsec vpn,请保留此处的默认设定。
我的wan ip/远端网关ip:ppp协商阶段完成安全参数的协商后,会立即开始ipcp协商阶段,作用是为ppp链路两端的ppp接口协商ip地址。从本地路由器的角度看,我的wan ip对应ppp链路的本地ppp接口,远端网关ip对应ppp链路的远端ppp接口。注意:这两个ip是虚拟ip,用于vpn隧道,并不是实际的公网ip地址或本地网关。如果您不熟悉ipcp协议,请使用默认的设定:0.0.0.0,在协商ipcp的时候将使用远端vpn路由器分配的ip地址。
以下设定用于所有类型vpn:
远端网络ip:指定远端vpn子网。注意,这里必须输入一个网络ip,而不是一个具体的ip地址。譬如远端vpn子网是一个c类网,内网机器的ip是192.168.100.x(x:1~254),那么你应该在这里输入192.168.100.0。
远端网络掩码:指定远端vpn子网的掩码。
更多:按此按钮将弹出一个窗口,如下图所示。在这个窗口里你可以添加静态路由。在网络ip栏里输入要访问的网络ip,在下拉菜单里选择相应的子网掩码,然后点击新增按钮。注意,在这里添加的静态路由必须是能通过远端vpn子网可路由访问的(请先确认你可以从远端vpn子网访问那些添加的网络)。另外,如果你连接的vpn是ipsec,并且远端vpn路由器是其它厂商的路由器,最好不要使用这个功能,因为它是专门针对vigor和vigor建vpn而设计的,我们不保证其它厂商的路由器能配合此功能。
rip方向:除了在更多里添加静态路由,你也可以通过vpn隧道使用rip协议传送路由信息。tx/rx两者是指即发送rip路由信息,又接收rip路由信息;仅rx是指仅接收rip路由信息;仅tx是指仅发送rip路由信息;停用是指禁止通过vpn隧道传送rip路由信息。
rip版本:选择rip协议的版本。为获得最大的兼容性,请使用版本2。
在nat操作中,将远端子网络视为:默认设置是私网ip,绝大多数应用都应该选这个默认设置。如果没有特殊的目的,请不要选择公网ip。这里的公网ip是一个逻辑概念,并不是真正的公众网。当两个路由器建立了一条vpn,两边的网络便能通过vpn隧道互相访问,如果你希望只有一个方向能访问,另一个方向不能访问,可以选择公网ip。
譬如,你在路由器a里选择公网ip,路由器b里选择私网ip,那么vpn建好后,路由器a的网络可以访问路由器b的网络,而路由器b的网络不能访问路由器a的网络。此时路由器a的网络被当作nat lan,而路由器b的网络被当作公网。注意:请慎用此功能。
变更默认路由到此vpn隧道:当vpn连接建立好后,将使用远端vpn路由器的网关做为本地的默认网关。也就是说,所有访问internet的数据包都先通过vpn隧道路由到远端vpn路由器,再通过远端vpn路由器被发送到internet。该设定仅对拨出方向的vpn有用,所以一旦你启用了这个功能,一般设定栏里面的拨叫方向将被自动设定为拨出。注意:一旦该vpn连接建立好后,就无法建立其它任何vpn连接了。