如下图,NETGEAR FVS318 Gateway A 的一端连接到局域网,内部IP为192.168.0.1/24.。其广域网接口连接到互联网,并由ISP提供的固定IP地址及网关和子网掩码。NETGEAR FVS318 Gateway B 的一端连接到局域网,内部IP为192.168.0.1/24.。其广域网接口连接到互联网,并由ISP提供的固定IP地址及网关和子网掩码。要实现两台FVS318网关A和网关B之间的VPN连接。
图例一:固定IP地址的VPN应用
二.配置环境:
|
VPN 建立的模式:
|
LAN-TO-LAN (FVS318-TO-FVS318的MAIN模式)
|
|
VPN的类型
|
LAN-t o-LAN 或是 Gateway-to-Gateway
|
|
VPN的安全配置:
|
利用IKE进行密钥交换并采用共享密钥方式(不是能过CA认证方式)建立IPSEC通道。
|
|
产品型号和版本号:
|
|
|
NETGEAR-网关 A
|
FVS318 用的版本号是 version 2.4
|
|
NETGEAR-网关 B
|
FVS318 用的版本号是version 2.4
|
|
IP地址的方式:
|
|
|
NETGEAR-网关A
|
由ISP提供的固定IP地址及网关和子网掩码。
|
|
NETGEAR-网关 B
|
由ISP提供的固定IP地址及网关和子网掩码。
|
三.配置详解:
2.1 固定地址的网关A配置:
首先登录到FVS318的管理界面:
- 在IE地址栏上输入,FVS318的出厂值默认的IP地址:http://192.168.0.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password. 登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图
图例二:NETGEAR FVS318 v2.4 VPN 设置
- 在工具栏左边点击 VPN Settings. 点击第一个VPN连接。 (总共可以输入八个有效的VPN连接).。按Edit(编辑)按钮。这下面就是VPN Settings里面的配置。
图三:NETGEAR FVS318 v2.4VPN Settings (第一部分)
- 在Connection Name框中,输入一个VPN通道名称. 例如:我们设为:“to-Gateway B”.
- 在 NETGEAR FVS318 Gateway A的Local IPSec Identifier 中输入本地身份认证标识.。这个表示必须和对端的Remote IPSec Identifier相对应。在这个例子中使用0.0.0.0作为local identifier。
- 在Remote IPSec Identifier 中输入远端身份认证表示,该标识必须和远端的Local IPSec Identifier的表示相一致。在这个例子中我们输入0.0.0.0作为the remote identifier。
- 在Tunnel can be accessed from下拉菜单中选择a subnet from local addres。.
- 在Local LAN start IP Address输入本地LAN所在网段 (例如:192.168.0.0)。.
- 在Local LAN IPSubnetmask的对话框中输入子网掩码 (例如:255.255.255.0 ) 。.
- 从Tunnel can access 的下拉菜单中选择a subnet from local address。
- 在Remote LAN Start IP Address的对话框中输入对端(GatewayB)的内网的所在地址段 (例如:172.10.10.0) 在。
- 在Remote LAN IPSubnetmask的对话框中输入局域网的子网掩码(例如:255.255.255.0) 在。
- 在Remote WAN IP or FQDN的对话框中输入对端FVS318 Gateway B的广域网接口的IP地址(例如:218.18.10.18)。
图四:NETGEAR FVS318 v2.4 VPN Setting(第二部分)
- 从Secure Association下拉框中, 选择Main Mode.
- 在Perfect Forward Secrecy, 选择Enabled按扭。.
- 再从Encryption Protocol下拉对话框, 选择3DES加密方式。.
- 在PreShared Key对话框中 ,输入统一的子符串共享密钥。在这个例子中我们输入”netgear2004”.你必须在对端的设备上输入同样的共享密码。.
- 在Key Life对话框, 输入28800 seconds.(出厂默认值)
- 在IKE Life对话框中, 输入86400 seconds(出厂默认值)。.
- 如果你希望 NetBIOS数据流量从 VPN通道中运行,在前方方框中选择 NETBIOS Enable,例如允许在Microsoft 系统中的网络邻居看到对方的计算机就必须选上。
- 点击Apply按钮,所有配置都会存储到设备中.。然后返回到VPN Settings屏幕上。
图五: NETGEAR FVS318 v2.4 VPN 设置之后的VPN返回的状态介面。
回到VPN Settings的界面上注意必须在您新建立的连接中选择Enable选项。
2.2 固定地址的网关B配置:
首先登录到FVS318的管理界面:
1.在IE地址栏上输入FVS318的出厂值默认的IP地址:http://172.10.10.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password。登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:
图六: NETGEAR FVS318 v2.4 VPN 设置
2. 在工具栏左边点击 VPN Settings. 点击第一个VPN连接。 (总共可以输入八个有效的VPN连接)。按Edit(编辑)按钮一下。这下面就是 VPN Settings – MAIN Mode 的设置。
图七: NETGEAR FVS318 v2.4 VPN Settings (第一部分) – MAIN Mode
- 在Connection Name框中,输入一个VPN通道名称。例如:我们设为:“to-Gateway A”.
- 在NETGEAR FVS318 Gateway B的Local IPSec Identifier中输入本地身份认证标识.。这个标识必须和对端的Remote IPSec Identifier相对应。在这个例子中使用0.0.0.0作为local identifier。
- 在Remote IPSec Identifier 中输入远端身份认证表示,该标识必须和远端的Local IPSec Identifier的表示相一致。在这个例子中我们输入0.0.0.0作为the remote identifier。
- 在Tunnel can be accessed from下拉菜单中选择a subnet from local addres。.
- 在Local LAN start IP Address输入本地LAN所在网段 (例如:172.10.10.0)。.
- 在Local LAN IPSubnetmask的对话框中输入子网掩码 (例如:255.255.255.0 ) 。.
- 从Tunnel can access 的下拉菜单中选择a subnet from local address。
- 在Remote LAN Start IP Address的对话框中输入对端(GatewayA)的内网的所在地址段 (例如:192.168.0.0) 在。
- 在Remote LAN IPSubnetmask的对话框中输入局域网的子网掩码(例如:255.255.255.0) 在。
- 在Remote WAN IP or FQDN的对话框中输入对端FVS318 Gateway A的广域网接口的IP地址(例如:61.144.62.250)。
图八:NETGEAR FVS318 V2.4 VPN 设置模式 – MAIN Mode
- 从Secure Association下拉框中, 选择Main Mode.
- 在Perfect Forward Secrecy, 选择Enabled按扭。.
- 再从Encryption Protocol下拉对话框, 选择3DES加密方式。.
- 在PreShared Key对话框中 ,输入统一的子符串共享密钥。在这个例子中我们输入”netgear2004”.你必须在对端的设备上输入同样的共享密码。.
- 在Key Life对话框, 输入28800 seconds.(出厂默认值)
- 在IKE Life对话框中, 输入86400 seconds(出厂默认值)。.
- 如果你希望 NetBIOS数据流量从 VPN通道中运行,在前方方框中选择 NETBIOS Enable,行, 例如允许在Microsoft操作系统中的网络邻居看到对方的计算机就必须选上。
- 点击Apply按钮这些所有配置都会存储到设备中. 然后就会返回到VPN Settings屏幕上。
图九: NETGEAR FVS318 v2.4 VPN 设置之后的VPN返回的状态界面
3. 回到VPN Settings的界面,注意必须在您新建立的连接中选择Enable选项。
四.测试
当Gateway A和 Gateway B两端的VPN创建好之后,在两端的局域网任一台电脑上PING对方的局域网主机地址。例如:ping 172.10.10.1 –t.或Ping 192.168.0.1 –t 在半分钟左右会通,证明VPN通道已建立连接。
使用固定IP地址构建FVS 318点对点VPN