恢复出厂设置:点击该处将清除所有的设定档。
名称:这里显示lan-to-lan 设定档里用户名一栏内的字符。如果您在该栏里什么都没有输入,将显示默认的符号??? 。
状态:显示该设定档是否被启用了。符号v 表示设定档已经启用,符号x 表示设定档已经禁用。
点击索引值号可以进入lan-to-lan 设定档。每个lan-to-lan 设定档包含四个部分:一般设定、拨出设定、拨入设定和tcp/ip 网络设定。以下将详细介绍这四个部分的设定。
设定档名称:为该设定档设定一个名字,便于区分其它设定档。
启用此设定档:要启用此设定档必须点选此选项。
vpn 隧道通过:使用下拉菜单选择适当的wan 界面。这项设置仅适用于vpn 拨出。
wan1 优先– 连线时,路由器会将wan1 视为vpn 连线的首要选择,如果wan1 连线失败,路由器将使用另一个wan 介面来代替。
仅wan1 – 连线时,路由器会将wan1 视为vpn 连接的唯一选择。
wan2 优先– 连线时,路由器会将wan2 视为vpn 连线的首要选择,如果wan2 连线失败,路由器将使用另一个wan 介面来代替。
仅wan2 – 连线时,路由器会将wan1 视为vpn 连接的唯一选择。
拨叫方向:选择该设定档建立vpn 拨叫方向。
双向-该设定档的拨出设定部分和拨入设定部分均被启用,vigor 路由器即能主动拨vpn 连接到远端vpn 路由器,又能接受远端vpn 路由器拨入的vpn 连接。
拨出-仅拨出设定部分被启用,使用此设定档vigor 路由器只能主动拨vpn 到远端vpn 路由器,不能做为vpn 服务器接受拨入的vpn 连接。
拨入-仅拨入设定部分被启用,使用此设定档vigor 路由器只能接受远端vpn路由器拨入的vpn,不能主动拨出vpn连接。
一直在线或闲置超时:一直在线-启用该功能后,只要vpn 连接还未建立,vigor路由器就会以固定的时间间隔不断尝试连接,直到vpn 连接建立。连接建立后,会保持该连接一直在线,除非连接被手动断开或由于线路问题导致断线。并且一旦vpn 连接断开,vigor 路由器就又开始不断尝试连接。该选项仅对拨出方向的vpn 有效,所以启用该功能后,拨叫方向会被自动设定为拨出。另外,该功能被启用后,闲置超时会被自动设为-1,并且变成不可设置。
闲置超时- 如果没有任何数据传输通过这条建立好的vpn 隧道超过“闲置超时”规定的时间,路由器将断掉该连接。默认设置是300 秒,如果您不想有此时间限制,请将该值设为0 秒。
启用ping 以维持在线:启用该功能并在指定ip 地址栏里输入远端vpn网络里的一个可以ping 通的ip 地址。当该ip 地址ping 不通的时候,vigor 路由器即认为该vpn 隧道已经无效,便会将该连接断开。该功能是专门为ipsec 设计的,而对pptp,l2tp和应用ipsec 策略的l2tp 是无效的。因为pptp,l2tp和应用ipsec 策略的l2tp 这类基于ppp 的vpn 连接会使用相关的ppp 机制来实时侦测vpn 连接的状态,而ipsec只能在重新交换密钥的时候发现对端是否还存在,由于重建密钥的时间间隔一般都是一个小时以上,ipsec 无法实时侦测vpn 连接的状态。使用该功能就能帮助ipsec 快速发现并断开有问题的vpn 连接。注意,此功能独立于dpd(dead peer detection)功能。
ping ip:输入远端vpn 网络里的一个可以ping 通的ip 地址。
isdn:建立isdn lan-to-lan vpn 连接。您还需要为vpn 拨出端设定连接类型、用户名和密码来进行安全认证。您也可以进一步设定回拨功能。
pptp:建立pptp lan-to-lan vpn 连接。您还需要为vpn 拨出端设定用户名和密码来进行安全认证。
ipsec 隧道:建立ipsec lan-to-lan vpn 连接。
应用ipsec 策略的l2tp:建立l2tp/ipsec lan-to-lan vpn 连接。您可以选择单独使用l2tp 或者应用ipsec 策略的l2tp:
无– 建立单纯的l2tp vpn。
最好使用– 如果拨入端的设定也是应用ipsec 策略的l2tp,则启用ipsec,否则建立的就是单纯的l2tp vpn连接。
一定要有– 拨入端必须使用应用ipsec 策略的l2tp,而不能使用单纯的l2tp vpn 连接。
用户名:为vpn 拨出端用户设置用户名。当您选择的vpn 模式为isdn, pptp 或l2tp 时必须设置此项。
密码:为vpn 拨出端用户设置密码。当您选择的vpn 模式为isdn, pptp 或l2tp 时必须设置此项。
ppp 验证:仅pap - 若选择该设置,那么在vpn 建立的ppp 协商阶段,将只支持使用pap 协议进行认证。
pap/chap - 若选择该设置,那么vigor 路由器支持以下任意一种验证协议:ms-chapv2,ms-chapv1,chap,pap。具体使用哪一种由vpn 服务器决定。推荐选择此设定。
vj 压缩:它用于tcp/ip 协议头的压缩,可以稍微节省一点带宽。建议使用默认设定开启。
ike 认证方法:这里的设置只适用于ipsec vpn 和应用ipsec 策略的l2tp vpn。
预共享密钥- 输入1-63 个字符作为预共享密钥。
数字签名(x.509) – 选择一个在ipsec 端点id 中设定好的id 帐号。
ipsec 安全方法:这里的设置只适用于ipsec vpn 和应用ipsec 策略的l2tp vpn。
中级:中等(ah) 数据将被认证,但不会被加密。
高等(esp) 数据将被认证和加密,下拉菜单里有6 个选项:
des 无验证
des 有验证
3des 无验证
3des 有验证
aes 无验证
aes 有验证
无验证指的是不使用md5 或sha1 认证算法。当选择有验证的时候,vigor 将发送两个提议,按先后顺序是sha1,md5。譬如,若您选择了3des 有验证,vigor 将先后发送3des+sha1 和3des+md5 到远端vpn 服务器。
高级 按此按钮,在弹出窗口里可以进行ike 高级设定。
ike 第一阶段模式- 可以选择主模式(main mode)或积极模式(aggressive mode)。该设定必须匹配vpn 服务器的设定。注意:如果选择了积极模式,必须配置本地id;若没有,则不要配置本地id。
ike 第一阶段提议- 在第一阶段(phase 1),vigor 支持的加密算法是des 和3des;支持的认证算法是md5 和sha1;支持的dh 组是group 1(768-bit)和group 2(1024-bit)。这些参数的组合总共有8 组,在下拉菜单里您可以单独选择一组,它必须与vpn 服务器的相关设定匹配。此外vigor 还提供了一个包含了4 组提议的选项(des_md5_g1 / des_sha1_g1 / 3des_md5_g1 /3des_md5_g2),在vpn 建立过程中,vigor 将发送这四个提议给vpn 服务器,这四个提议中,第一个匹配vpn服务器设定的组将被vpn 服务器采用。当您不确定vpn服务器的配置的时候,可以选择该选项。
ike 第二阶段提议- 支持的认证算法是md5 和sha1 ike 第一阶段密钥有效时间- 设定第一阶段的密钥存活时间,时间一到,ike 将协商一个新的密钥。单位是秒,有效值是900 秒到86400 秒,默认值是28800 秒。
ike 第二阶段密钥有效时间- 设定第二阶段的密钥存活时间,时间一到,ike 将协商一个新的密钥。单位是秒,有效值是600 秒到86400 秒,默认值是3600 秒。
完全机密转发(pfs) - 启用该功能将在第二阶段引入一个新的dh 密钥交换,从而提供了更强的安全性。通常是不需要pfs 的,因为危及加密或认证密钥安全性的可能性很小,而且启用pfs 也会影响ipsec 的速度。如果vpn 服务器要求使用pfs,请点选启用。
本地id - 只有在ike 第一阶段模式是积极模式(aggressive mode)的时候才需要设定本地id。它的格式可以是email 地址,域名或字符串。该id 必须匹配vpn服务器里的相关设定,如果远端vpn 服务器是vigor 路由器,对应的值是服务器拨入设定里的端点(peer)id。该id 的长度被限制在47 个字节以内。
回拨功能(仅用于i 型号):回拨功能为isdn 拨入用户提供了回拨服务。
要求远端回拨- 启用此选项后可以让本地路由器发出请求,使之后的连接由vpn 另一端回拨。
提供isdn 号码给远端- 如果在vpn 另一端的路由器需要知道本地路由器isdn 号码的情况下要开启此选项。随后路由器会发送本地的isdn 号码给vpn 远端的路由器。
允许拨入的类型:确定允许拨入的vpn 类型。
isdn:允许远端拨入的isdn lan-to-lan vpn 连接。您还需要为vpn 拨出端设定用户名和密码来进行安全认证。您也可以进一步设定回拨功能。
pptp:允许远端拨入的pptp lan-to-lan vpn 连接。您还需要为vpn 拨出端设定用户名和密码来进行安全认证。
ipsec 隧道:允许远端拨入的ipsec lan-to-lan vpn 连接。
应用ipsec 策略的l2tp:允许远端拨入的l2tp/ipsec lan-to-lan vpn 连接。您
可以选择单独使用l2tp 或者应用ipsec 策略的l2tp:无-建立单纯的l2tp vpn。
最好使用-如果拨入端的设定也是应用ipsec 策略的l2tp,则启用ipsec,否则建立单纯的l2tp vpn 连接。
一定要有-拨入端必须使用应用ipsec 策略的l2tp vpn,而不能使用单纯的l2tp vpn 连接。
指定远端vpn 网关端点vpn 服务器ip 或端点ip:如果拨入的vpn 类型是pptp、l2tp 或ipsec 主模式(main ode),那么该选项是可选的。如果拨入的vpn 类型是ipsec极模式(aggressive mode),那么该选项是必选的。
该功能默认是禁用的,也就是说任何远端用户(特别是使用动态ip 地址的用户)都可以使用此设定档的设置建立vpn 到vigor 路由器。
如果为了安全性需要限制特定的用户才能拨入vpn,您可以启用指定远端节点功能,并在端点(peer)vpn 服务器ip 栏里填入该特定vpn 服务器的公网ip 地址。这样,即使其他用户的设置都匹配此设定档,由于他们的公网ip 地址不被允许拨入,他们也无法建立vpn 连接。如果拨入的vpn 类型是ipsec 积极模式,必须启用此功能,并在端点id 栏里设置一个id(不需要设置端点(peer)vpn 服务器ip)。id 的格式可以是email 地址,域名或字符串。这个id 在远端vpn 路由器里也要输入,如果远端vpn 路由器也是vigor,对应的值是拨出设定里的本地id。如果之前拨入类型选择isdn 则在开启此选项后,请在空白栏输入vpn 远端路由器的isdn 号码。
如果您没有选择此选项,那么该条lan to lan vpn 的认证方式和安全方法将使用在ipsec 基本设定里面所设定的值。
用户名:当您选择的vpn 模式为isdn, pptp 或l2tp 时必须设置此项,该用户名必须匹配远端vpn 路由器上的相关设定。
密码:当您选择的vpn 模式为isdn, pptp 或l2tp 时必须设置此项, 密码必须匹配远端vpn 路由器上的相关设定。
vj 压缩:它用于tcp/ip 协议头的压缩,可以稍微节省一点带宽。建议使用默认设定:开启。
ike 认证方法:一旦启用了指定远端vpn 网关功能,就必须为此设定档单独配置ike 认证方法和ipsec 安全方法。这里的设定与ipsec 基本设定里的设置在功能上是一样的,只不过它被限定只能用于指定的用户。这里的设置适用于ipsec vpn和应用ipsec 策略的l2tp vpn。但是即使指定远端vpn网关没有被启用,您仍然可以编辑数字证书的设定。
预共享密钥- 输入预共享密钥。必须和vpn 拨出端的设定相同。
数字签名(x.509) – 选择一个在ipsec 端点认证中设定好的peer id 项ipsec 安全方法:选择允许的ipsec 安全方法。注意:该设定仅用于ipsec第二阶段的协商。
中等(ah) - 数据将被认证,但不会被加密。默认该选项被启用。
高等(esp) - 数据将被认证和加密。这里我们支持des,3des 和aes 加密方式。默认所有选项都被启用。
回拨功能:回拨功能为isdn 拨入用户提供了回拨服务。
启用回拨功能- 启用回拨功能。
使用以下号码回拨- 此项设定是为了增加安全性,一旦启用此选项,路由器只会对该特定的回拨号码回拨。
回拨定额(单位:分钟)- 定义远端拨入用户的时间资费,该资费会随着每次回拨连接而递减。回拨功能有一个时间限制,一旦回拨资费被耗尽,则回拨功能将自动停止。
以下两个设定仅用于ppp 相关的vpn 连接,包括pptp,l2tp,应用ipsec 策略的l2tp,如果是纯ipsec vpn,请保留此处的默认设定。
我的wan ip/远端网关ip:ppp 协商阶段完成安全参数的协商后,会立即开始ipcp协商阶段,作用是为ppp 链路两端的ppp 接口协商ip 地址。从本地路由器的角度看,我的wan ip 对应ppp 链路的本地ppp 接口,远端网关ip 对应ppp 链路的远端ppp接口。注意:这两个ip 是虚拟ip,用于vpn 隧道,并不是实际的公网ip 地址或本地网关。如果您不熟悉ipcp 协议,请使用默认的设定:0.0.0.0,在协商ipcp 的时候将使用远端vpn 路由器分配的ip 地址。
以下设定用于所有类型vpn:
远端网络ip:指定远端vpn 子网。注意,这里必须输入一个网络ip,而不是一个具体的ip 地址。譬如远端vpn 子网是一个c类网,内网机器的ip 是192.168.100.x(x:1~254),那么您应该在这里输入192.168.100.0。
远端网络掩码:指定远端vpn 子网的掩码。
更多:按此按钮将弹出一个窗口,如下图所示。在这个窗口里您可以添加静态路由。在网络ip 栏里输入要访问的网络ip,在下拉菜单里选择相应的子网掩码,然后点击新增按钮。注意,在这里添加的静态路由必须是能通过远端vpn 子网可路由访问的(请先确认您可以从远端vpn 子网访问那些添加的网络)。另外,如果您连接的vpn 是ipsec,并且远端vpn 路由器是其它厂商的路由器,最好不要使用这个功能,因为它是专门针对vigor 和vigor 建vpn 而设计的,我们不保证其它厂商的路由器能配合此功能
rip 方向:除了在更多里添加静态路由,您也可以通过vpn 隧道使用
rip 协议传送路由信息。tx/rx 两者是指即发送rip 路由信息,又接收rip 路由信息;仅rx 是指仅接收rip 路由信息;仅tx 是指仅发送rip 路由信息;停用是指禁止通过vpn 隧道传送rip 路由信息。
rip 版本:选择rip 协议的版本。为获得最大的兼容性,请使用版本2。
f 在nat 操作中,将远端子网络视为:默认设置是私网ip,绝大多数应用都应该选这个默认设置。如果没有特殊的目的,请不要选择公网ip。这里的公网ip 是一个逻辑概念,并不是真正的公众网。当两个路由器建立了一条vpn,两边的网络便能通过vpn 隧道互相访问,如果您希望只有一个方向能访问,另一个方向不能访问,可以选择公网ip。
譬如,您在路由器a 里选择公网ip,路由器b 里选择私网ip,那么vpn 建好后,路由器a 的网络可以访问路由器b 的网络,而路由器b 的网络不能访问路由器a 的网络。此时路由器a 的网络被当作nat lan,而路由器b的网络被当作公网。注意:请慎用此功能。
变更默认路由到此vpn 隧道:当vpn 连接建立好后,将使用远端vpn 路由器的网关做为本地的默认网关。也就是说,所有访问internet 的数据包都先通过vpn 隧道路由到远端vpn 路由器,再通过远端vpn 路由器被发送到internet。该设定仅对拨出方向的vpn 有用,所以一旦您启用了这个功能,一般设定栏里面的拨叫方向将被自动设定为拨出。注意:一旦该vpn 连接建立好后,就无法建立其它任何vpn 连接了。