手工方式
手工方式是指SecoClient使用者自己手动创建VPN连接,配置相关参数,建立VPN隧道的一种方式。
SecoClient可以创建SSL VPN、L2TP VPN和L2TP over IPSec VPN这三种类型的VPN隧道。具体选用哪一种VPN隧道访问企业内网,这取决于实际的网络部署,请您根据真实需要选择创建对应类型的VPN隧道。
- 建立SSL VPN隧道
- 建立L2TP VPN隧道
- 建立L2TP over IPSec VPN隧道
建立SSL VPN隧道
介绍SSL VPN隧道的配置方法。
配置步骤
- 新建一条SSL VPN连接。
- 打开SecoClient,进入主界面。
在“连接”对应的下拉列表框中,选择“新建连接”。
- 配置SSL VPN连接参数。
在“新建连接”窗口左侧导航栏中选中“SSL VPN”,并配置相关的连接参数。
表5-2 SSL VPN配置参数说明
参数
说明
连接名称
用于标识一条SSL VPN连接。连接名称具有唯一性,不允许重复。
描述信息
用于补充说明该条连接的相关信息。例如,可以在此处添加该条连接的创建者、创建时间以及连接用途等信息。
远程网关地址
SSL VPN虚拟网关地址。该地址必须与SSL VPN虚拟网关地址保持一致。地址填写错误,会导致SSL VPN隧道建立失败。
端口
表示建立SSL VPN隧道的端口号,默认端口号是443。该端口号必须与SSL VPN虚拟网关提供的端口号保持一致。端口号填写错误,会导致SSL VPN隧道建立失败。
单击端口后的,会将当前虚拟网关地址加入到虚拟网关列表。可以持续向虚拟网关列表中添加多个地址,最多能添加15个地址。选中虚拟网关列表中的某条记录,单击端口后的,可以删除该记录。
在网关优选场景中将会用到虚拟网关列表,勾选“启用自动优选”,SecoClient将探测虚拟网关列表中所有网关的响应速度,然后从中选择响应速度最快的那台虚拟网关建立SSL VPN隧道。
如果虚拟网关列表中存在多个网关地址,而用户又没有勾选“启用自动优选”时,则要在虚拟网关列表中先选中一个地址,然后单击“设置默认网关”按钮,表示SecoClient将与被选中的虚拟网关建立SSL VPN隧道。
隧道模式
网络扩展功能建立SSL VPN隧道的模式有两种:可靠传输模式和快速传输模式。
可靠传输模式中,SSL VPN采用SSL协议封装报文,并以TCP协议作为传输协议;快速传输模式中,SSL VPN采用QUIC(Quick UDP Internet Connections)协议封装报文,并以UDP协议作为传输协议。QUIC也是基于TLS/SSL协议实现的数据加密协议,它的作用和SSL一样,只是经QUIC封装的报文要基于UDP协议来传输。
自适应模式下,SecoClient会优先使用快速模式与虚拟网关建立隧道,当快速模式建立隧道失败时,再选择使用可靠模式与虚拟网关建立隧道。
在网络环境不稳定的情况下推荐使用可靠传输模式;而网络环境比较稳定的情况下,推荐使用快速传输模式,这样数据传输的效率更高。在不了解当前网络环境的情况下可以选择自适应模式。
路由覆盖
说明:
仅在Windows操作系统下会显示此项。
当对端网关下发的路由和本地已经存在的路由的目的地址和子网掩码完全相同时,如果启用了路由覆盖功能,则对端网关下发的路由会覆盖本地已经存在的路由,避免本地路由冲突造成网络访问异常。
缺省情况下,路由覆盖功能开启。
国密算法
客户端支持使用国密算法与对端网关建立SSL VPN连接。
缺省情况下,国密算法功能关闭。
证书认证
说明:
仅在Linux操作系统下会显示此项。
如果使用证书认证的方式建立SSL VPN连接,则需要勾选“证书认证”。
勾选“证书认证”后,可以选择用于进行证书认证的证书。
密码
说明:
仅在Linux操作系统下会显示此项。
用于设置证书认证时证书中提取的用户名对应的登录密码。
仅当使用证书认证的方式建立SSL VPN连接,且勾选了“证书认证”时可以设置此密码。
- 设置完成后,单击“确定”,返回主界面。
- 打开SecoClient,进入主界面。
- 登录SSL VPN虚拟网关。
- 在“连接”下拉列表框中选择已经创建的SSL VPN连接,单击“连接”。
- 在登录界面输入用户名、密码。
勾选“自动”,表示存在多个虚拟网关时,系统会自动选择响应速度最快的虚拟网关建立SSL VPN隧道。只有一个网关的情况下,无需勾选“自动”单选框。单击“登录”,发起VPN连接。
若在Windows或MAC操作系统下采用证书认证,则需要选择证书、输入证书中提取的用户名对应的登录密码,完成登录。在Windows证书认证场景下,证书都是导入到IE浏览器中的;在MAC证书认证场景下,证书需要导入到“凭证”中;在Linux证书认证场景下,证书需要放入主目录下的Certificate文件夹。导入成功后即可在证书选择列表中选择对应证书。
- 若组网中存在第三方认证服务器且第三方认证服务器上配置了Token序列号认证或短信认证,客户端会弹出输入框,要求用户输入动态令牌码进行双因子认证。客户端支持Token序列号和短信验证码两种双因子认证方式,输入获取到的Token序列号或短信验证码,单击“确定”完成认证。
- VPN接入成功时,系统会在界面右下角进行提示。
连接成功后移动办公用户就可以和企业内网用户一样访问内网资源了。
建立L2TP VPN隧道
介绍L2TP VPN隧道的配置方法。
配置步骤
- 新建一条L2TP VPN连接。
- 打开SecoClient,进入主界面。
在“连接”对应的下拉列表框中,选择“新建连接”。
- 配置L2TP VPN连接参数。
在“新建连接”窗口左侧导航栏中选中“L2TP/IPSec”,并配置相关参数。
表5-4 L2TP配置参数说明
参数
说明
连接名称
用于标识一条L2TP VPN连接。连接名称具有唯一性,不允许重名。
描述信息
用于补充说明该条连接的相关信息。例如,可以在此处添加该条连接的创建者、创建时间以及连接用途等信息。
LNS服务器地址
L2TP VPN网关地址。该地址必须与L2TP VPN网关地址保持一致。地址填写错误,会导致L2TP VPN隧道建立失败。
隧道名称
用于在隧道中标识设备本身。隧道名称必须与LNS侧配置的名称保持一致,隧道名称填写错误,会导致L2TP VPN隧道建立失败。
认证模式
- CHAP认证:CHAP(Challenge Handshake Authentication Protocol)是一种三次握手验证协议,只在网络上传输用户名,而不传输密码。
- PAP认证:PAP(Password Authentication Protocol)是一种两次握手验证协议,在网络上传输用户名和密码,密码为明文。
说明:
PAP不是安全协议,建议使用CHAP协议。
启用隧道验证功能
为安全起见,L2TP VPN在隧道协商时会有隧道验证环节。只有远程接入用户使用的隧道验证密码与L2TP VPN网关侧设置的隧道验证密码一致时,隧道才可建立。隧道验证在L2TP VPN隧道建立过程中不是必须的,这取决于L2TP VPN网关侧的配置。如果网关侧启用了隧道验证功能,则SecoClient侧也必须启用此功能。
隧道验证密码
启用隧道验证功能以后,需要设置隧道验证密码,该密码需要向L2TP VPN网关管理员获取。
启用IPSec安全协议
该参数在L2TP over IPSec场景使用,单纯的L2TP远程接入场景中无需配置。
路由设置
在设置“连接成功后允许访问Internet”参数时有如下三种选择,请根据实际需要进行设置。
- 不勾选
移动办公用户拨号成功后,其个人PC的默认路由下一跳会被修改为虚拟网卡的IP地址。此时,所有流量都会经过虚拟网卡发送到隧道对端,这意味着该用户只能访问企业内网资源,不能访问Internet。
- 勾选但不在IP地址列表框中添加IP地址
移动办公用户拨号成功后,其个人PC会生成一条目的网段为虚拟网卡对应的IP地址段,下一跳为虚拟网卡的IP地址的路由。此时,该用户只能访问与虚拟网卡IP地址同网段的企业内网资源。由于用户原有路由没有受到影响,所以还可以访问Internet和本地局域网。
- 勾选并在IP地址列表框中添加IP地址
移动办公用户拨号成功后,其个人PC会根据IP地址列表框中添加的IP地址段作为目的网段,生成明细路由,路由下一跳为虚拟网卡。此时,该用户就可以访问IP地址列表框中设置的那些企业内网资源了。由于用户原有路由没有受到影响,所以还可以访问Internet和本地局域网。
- 打开SecoClient,进入主界面。
- 登录L2TP VPN网关。
- 在“连接”下拉列表框中选择已经创建的L2TP VPN连接,单击“连接”。
- 在登录界面输入用户名、密码。
- 单击“登录”,发起VPN连接。
VPN接入成功时,系统会在界面右下角进行提示。
连接成功后移动办公用户就可以和企业内网用户一样访问内网资源了。
建立L2TP over IPSec VPN隧道
介绍L2TP over IPSec VPN隧道的配置方法。
配置步骤
- 新建一条L2TP over IPSec VPN连接。
- 打开SecoClient,进入主界面。
在“连接”对应的下拉列表框中,选择“新建连接”。
- 配置L2TP over IPSec VPN连接参数。
在“新建连接”窗口左侧导航栏中选中“L2TP/IPSec”,并配置相关参数。
- 配置L2TP参数。
表5-6 L2TP配置参数说明
参数
说明
连接名称
用于标识一条L2TP VPN连接。连接名称具有唯一性,不允许重名。
描述信息
用于补充说明该条连接的相关信息。例如,可以在此处添加该条连接的创建者、创建时间以及连接用途等信息。
LNS服务器地址
L2TP VPN网关地址。该地址必须与L2TP VPN网关地址保持一致。地址填写错误,会导致L2TP VPN隧道建立失败。
隧道名称
用于在隧道中标识设备本身。隧道名称必须与LNS侧配置的名称保持一致,隧道名称填写错误,会导致L2TP VPN隧道建立失败。
认证模式
- CHAP认证:CHAP(Challenge Handshake Authentication Protocol)是一种三次握手验证协议,只在网络上传输用户名,而不传输密码。
- PAP认证:PAP(Password Authentication Protocol)是一种两次握手验证协议,在网络上传输用户名和密码,密码为明文。
说明:
PAP不是安全协议,建议使用CHAP协议。
启用隧道验证功能
为安全起见,L2TP VPN在隧道协商时会有隧道验证环节。只有远程接入用户使用的隧道验证密码与L2TP VPN网关侧设置的隧道验证密码一致时,隧道才可建立。隧道验证在L2TP VPN隧道建立过程中不是必须的,这取决于L2TP VPN网关侧的配置。如果网关侧启用了隧道验证功能,则SecoClient侧也必须启用此功能。
隧道验证密码
启用隧道验证功能以后,需要设置隧道验证密码,该密码需要向L2TP VPN网关管理员获取。
- 配置IPSec参数。
表5-7 IPSec配置参数说明
参数
说明
启用IPSec安全协议
在L2TP over IPSec场景中需要勾选此选项。
IPSec的身份认证分为了预共享密钥认证和USBKey数字签名认证两种。
- 预共享密钥方式下需要输入身份认证字,身份认证字请向IPSec VPN网关管理员获取。
- USBKey数字签名认证需要输入USB Pin码,USB Pin码是USBKey的持有人为了保护USBKey的安全性而设置的加密密码,该密码需要从USBKey的持有人处获取。
说明:
MAC和Linux操作系统下不支持USBKey数字签名认证。
IPSec设置
IPSec服务器地址
IPSec VPN网关的地址。该地址必须与IPSec VPN网关地址保持一致。地址填写错误,会导致VPN隧道建立失败。
使用LNS服务器地址
当L2TP VPN网关和IPSec VPN网关是同一台网关时,勾选此选项。
封装模式
IPSec封装是指将AH(Authentication Header)协议或ESP(Encapsulating Security Payload)协议相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。
- 隧道模式:只保护报文载荷部分,常用于VPN网关与网关之间建立隧道。
- 传输模式:保护整个报文,常用于移动终端与VPN网关建立隧道。
缺省情况下使用传输模式。
ESP协议验证算法
ESP协议验证算法用于对原始报文进行完整性校验,可以防止报文在传输过程中被篡改。ESP协议验证算法包括MD5、SHA1和SHA2-256三种,考虑到SHA2-256的安全性较高,推荐使用SHA2-256算法。
ESP协议加密算法
ESP协议加密算法用于对原始报文进行加密保护,可以防止报文在传输过程中被窃取。ESP协议加密算法包括DES、3DES和AES三种,AES算法安全性比DES和3DES算法安全性要高。
AES算法根据密钥长度不同分为了AES128、AES192和AES256三种。密钥长度越长,其算法安全性越高,但是相应的报文加解密所消耗的时间也会越长。综合考虑算法安全性以及加解密的效率,此处推荐使用AES256算法。
IKE设置
协商模式
IPSec隧道双方在IKE协商的时候有两种协商模式。
- 主模式
- 野蛮模式
缺省情况下使用主模式进行隧道协商。如果隧道发起方对于隧道响应方的策略有全面的了解,采用野蛮模式能够更快地创建IKE SA。
ID类型
表示身份类型。
身份认证是IKE协商的一种保护机制,它通过确认通信双方的身份来确保安全性。
IKE对等体的身份可采用不同类型,包括IP类型和名字类型两种。协商模式选择为主模式时,默认使用IP类型,表示以本端的IP地址作为本端身份标识;协商模式选择为野蛮模式时,ID类型转为可选状态,ID类型就可以选择是使用IP或是名字。
本端名字
当身份类型选择为“名字”时,需要设置此参数。
本端名字作为本端的身份标识,要提供给IPSec VPN网关进行身份认证。身份认证通过,IPSec VPN网关才允许SecoClient与其建立IPSec隧道。“本端名字”要和IPSec VPN网关上的对端名称保持一致,名称不一致隧道将建立失败。该参数需要向IPSec VPN网关管理员获取。
安全网关名字
当身份类型选择为“名字”时,需要设置此参数。“安全网关名字”要和IPSec VPN网关上的本端名称保持一致,名称不一致隧道将建立失败。该参数需要向IPSec VPN网关管理员获取。
安全网关名字是IPSec VPN网关的身份标识。身份认证是相互的,SecoClient在与IPSec VPN网关建立隧道时,也要校验网关的身份,确保要访问的IPSec VPN网关的真实性。IPSec VPN网关要将自身的身份标识提交给SecoClient认证,身份认证通过,SecoClient才会与IPSec VPN网关建立IPSec隧道。
验证算法
IKE协商时,验证算法用于保护报文的完整性。验证算法有MD5、SHA1和SHA2-256三种,考虑到SHA2-256安全性较高,推荐使用SHA2-256算法。
加密算法
IKE协商时,加密算法用于保护报文的私密性,防止报文在传输过程中被窃取。加密算法有DES-CBC、3DES-CBC和AES-128/192/256这几种,考虑到AES-256安全性较高,推荐使用AES-256算法。
DH组标识
IKE协商时,DH组用于实现隧道双方进行密钥材料交换。DH组按照密钥长度的不同分为了group1(768-bit)、group2(1024-bit)和group5(1536-bit)三种。group1存在安全隐患,推荐使用Group2或Group5。
IKE高级设置
启用PFS特性
表示在IKE协商时使用完美的前向安全PFS(Perfect Forward Secrecy)功能。
该功能用于本端发起协商时,在IKEv1阶段2或IKEv2创建子SA交换的协商中进行一次附加的DH交换,保证IPSec SA密钥的安全,以提高通信的安全性。
启用本功能,需要配置相应的安全参数,这里安全参数支持group1、group2和group5。group1存在安全隐患,推荐使用Group2或Group5。
安全联盟生存周期
IKE SA的生存周期用于IKE SA的定时更新,降低IKE SA被破解的风险,有利于安全性。
在设定的生存周期超时前,IKE将为对等体协商新的IKE SA。在新的IKE SA协商好之后,对等体立即采用新的IKE SA,而旧的IKE SA在生存周期到期后被自动清除。重协商不会导致当前隧道中断。
IPSec高级设置
安全联盟生存周期
当以IKE动态协商方式建立IPSec SA时,IPSec隧道将在建立时间大小达到阈值时重新协商IPSec SA,以保证隧道安全性。 重协商不会导致当前隧道中断。
路由设置
路由设置用于控制移动办公用户远程接入成功后所能访问的资源范围。路由设置有两种模式,一种是“Mode Config”模式,另一种是“连接成功后允许访问Internet”模式。两者的区别在于,“Mode Config”模式下,用户访问资源的范围取决于网关侧的配置。“连接成功后允许访问Internet”模式下,用户访问资源的范围取决于SecoClient侧IP地址列表框中的配置。
- Mode Config
- 如果对端VPN网关支持Mode Config协商模式,移动办公用户接入成功后,VPN网关会将网关侧配置的企业内网地址段推送过来,该用户PC就会生成到这些地址段的明细路由,用户就可以访问企业内网中的这些资源。在此过程中,该用户PC原有的路由未受影响,用户在访问企业内网资源时,还可以访问Internet和本地局域网。
- 如果对端VPN网关不支持Mode Config协商模式,移动办公用户接入成功后,其个人PC的默认路由下一跳会被修改为虚拟网卡的IP地址。此时,所有流量都会经过虚拟网卡发送到隧道对端,这意味着该用户只能访问企业内网资源,不能访问Internet。
- 连接成功后允许访问Internet
- 勾选但不在IP地址列表框中添加IP地址
移动办公用户拨号成功后,其个人PC会生成一条目的网段为虚拟网卡对应的IP地址段,下一跳为虚拟网卡的IP地址的路由。此时,该用户只能访问与虚拟网卡IP地址同网段的企业内网资源。在此过程中,该用户PC原有路由没有受到影响,所以在访问企业内网资源的时候,还可以访问Internet和本地局域网。
- 勾选并在IP地址列表框中添加IP地址
移动办公用户拨号成功后,其个人PC会以IP地址列表框中添加的IP地址段作为目的网段,生成明细路由,路由下一跳为虚拟网卡。此时,该用户就可以访问IP地址列表框中设置的那些企业内网资源了。在此过程中,该用户PC原有路由没有受到影响,所以在访问企业内网资源的时候,还可以访问Internet和本地局域网。
- 勾选但不在IP地址列表框中添加IP地址
- 配置L2TP参数。
- 设置完成后,单击“确定”,返回主界面。
- 打开SecoClient,进入主界面。
- 登录L2TP over IPSec VPN网关。
- 在“连接”下拉列表框中选择已经创建的L2TP over IPSec VPN连接,单击“连接”。
- 在登录界面输入用户名、密码。
若在Windows或MAC操作系统下采用证书认证,则需要选择证书、输入证书中提取的用户名对应的登录密码,完成登录。在Windows证书认证场景下,证书都是导入到IE浏览器中的;在MAC证书认证场景下,证书需要导入到“凭证”中;在Linux证书认证场景下,证书需要放入主目录下的Certificate文件夹。导入成功后即可在证书选择列表中选择对应证书。
- 单击“登录”,发起VPN连接。
VPN接入成功时,系统会在界面右下角进行提示。
连接成功后移动办公用户就可以和企业内网用户一样访问内网资源了。
发表评论