- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-VPN远程用户
本章节下载: 03-VPN远程用户 (1.72 MB)
本文档介绍了H3C SecPath工控防火墙VPN远程用户功能组网配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解L2TP、IKEv2、数据认证和数据加密等特性。
如下图所示,工控防火墙设备配置在网关处,远程主机183.1.0.111可以访问到防火墙GE0/3接口IP,但无法访问防火墙内网主机17.1.8.174,需要通过在防火墙上开启VPN服务,在远程主机上通过VPN拨号连接,实现远程主机到本端子网之间的加密数据传输。
图1 VPN远程用户组网
· 远程主机应安装支持L2TP或IKEv2的VPN客户端;
· 工控防火墙支持L2TP和IKEv2两种协议;
本举例是在工控防火墙的Version 3.1,ESS 6601版本上进行配置和验证的。
外网主机为183.1.0.111,可访问到防火墙GE0/1
图2 测试网络连通
内网主机为17.1.8.174,可访问到防火墙GE0/2口:
图3 测试网络连通
图4 启用IPSec
图5 新增L2TP远程接入
图6 新增L2TP用户
图7 新增L2TP用户
新建VPN连接,配置目标IP地址:
图8 新建VPN连接
配置VPN连接的安全选项:
图9 VPN类型
配置预共享秘钥,PC L2TP IPSec VPN客户端的预共享密钥与防火墙上配置的预共享密钥一致:
图10 预共享秘钥
PC L2TP IPSec VPN客户端登录的用户名密码与VPN用户对象的配置一致:
图11 拨号登录
VPN连接成功:
图12 连接状态
在远程PC 183.1.0.111上访问防火墙内网主机17.1.8.174
图13 测试网络连通
外网主机为183.1.0.72,可访问防火墙GE0/1接口:
图14 测试网络连通
内网主机为17.1.8.174,可访问到防火墙GE0/2口:
图15 测试网络连通
图16 启用IPSec
图17 生成本地证书
图18 新增IKEv2远程接入
图19 新增IKEv2用户
从防火墙上将根证书导出:
图20 导出根证书
导出文件如下:
图21 证书文件
将该证书文件复制到客户端17.1.8.174上,win+R 输入mmc,打开控制台:
图22 . 控制台
将证书添加到管理单元:
图23 添加证书
图24 设置为计算机账户
图25 选择本地计算机
图26 导入根证书文件
将防火墙根证书导入到【受信任的根证书颁发机构】
图27 根证书
图28 新建VPN连接
图29 设置VPN类型
图30 拨号访问
图31 连接状态
在连接VPN状态下,ping内网主机17.1.8.174
图32 测试网络连通
(1) 在远程主机上可以通过L2TP和IKEv2客户端成功连接到防火墙;
(2) 连接成功后,远程主机可正常访问防火墙内网主机。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
