收藏
NETGEAR FVX7306维修信息
常见问题解答- 1.如果保障动态域名服务的正常使用?
-
-
答案:- 当用户经过修改DNS的设置和联系服务供应商仍然不能解决动态域名的解释问题的时候,我们郑重建议用户使用其它动态域名服务供应商提供的服务作双系统备份。在此我们推荐三家比较稳定的动态域名服务供应商:
供应商
官方网站
所在地区
绑定域名
收费方式
www.88ip.com
中国广东深圳
Name.88ip.cn
600元/年
希网网络
www.3322.org
中国江苏常州
Name.3322.net
免费
网域科技(花生壳系列)
www.oray.net
中国广东广州
Name.vicp.net
免费
我们只要到其中一个网站注册其合法的用户口令(使用收费的比免费的稳定),并下载该供商动态域名服务客户端软件安装到公司内部网络里的一台可以访问互联网的电脑上面即可以使用,同时我们在选择软件安装的电脑的时候应该选择那些性能稳定和需要长时间开启的电脑主机以保证服务的正常使用。如下图:
图九:第三方动态域名服务的应用
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 2.NETGEAR VPN 防火墙产品
-
-
- 答案:
-
全球成长型商用网络专家与无线网络的先锋美国网件公司(NETGEAR)所发布的所有VPN 防火墙系列产品(包括FVS318, FVS338,FVS328,FVL328,FVS338,FVX538,FVM318,FWAG114P)都支持动态域名解释服务,以方便用户在使用动态的IP地址接入互联网时可以方便建立属于自己的虚拟专用网络(VPN)。现在以FVL328为例子,作一个简单的介绍,在FVL328的配置页面里面(F/W2.003),点击左边工具菜单里的DynamicDns选项,如下图:
图一:Netgear防火墙动态域名设置
我们提供动态域名服务的供应商有三家,具体的情况如下表:
供应商
官方网站
所在地区
绑定域名
收费方式
www.dyndns.org 美国新罕布什尔 Name.dyndns.org 免费 Tzolkin Corporation Netgear.tzo.com 美国麻省 Name.tzo.com xxx.name.com $24.95/年
$59.95/年网域科技(ngDDns/OrayDns) www..oray.net 中国广州 Name.ng.iego.net 免费 二.设置详解
可见,在第一节中,从三个提供动态域名服务的供应商的地理位置来说,在国内使用的防火墙设备最好采用网域科技提供的动态域名服务.以下就网域科技提供的动态域名服务给出详细的配置方法供用户参考:
- 在工具栏里点选Dynamic Dns,进行动态域名的配置,如图:
图二:FVS318 Dunamic Dns 设置
2.点选Oray.net,这时系统会提示你输入争取的DNS 域名和用户名密码等登陆信息。
图三:FVS318 Dunamic Dns 设置
-
点击Oray.net右边的连接,将引导用户进入网域动态域名的注册系统,在这里你可以申请一个免费的,唯一的动态域名,如图:
图四:FVS318 Dunamic Dns 设置
-
点击注册开始申请
图五:FVS318 Dunamic Dns 设置
-
回到FVS318的配置页面,在DDNS选项里,先选中适当的服务提供商,在中国大陆我们应该选择Oray.net(网域科技),然后在相应的信息栏目里填入相应的注册信息即可。如下图:在我们的例子里,我们为站点A申请了,名为Netgear-a.ng.iego.net的动态域名。
图六:FVS318 Dunamic Dns 设置
三.当内置的动态域名失效时的应变办法
声明:美国网件公司并不保障在其防火墙提供的动态域名服务质量,动态域名的服务质量应该以提供该动态域名服务的供应商的服务承诺为参照。
从以上声明我们可以了解到,当我们在Netgear的防火墙/宽带路由器/VPN设备时使用网域科技提供的免费动态域名服务的时候,我们应该以网域科技公布的动态域名服务质量作为参考,针对最近很多用户反应使用网域的动态域名服务时常常出现反应缓慢,甚至根本不能正常解释的问题,我们总结出以下四种故障情况。并针对以下的情况,我们在下文将详细给用户介绍故障的诊断办法及如何解决问题。
1.当地DNS服务器的问题导致用户无办法连接到动态域名服务器
2.动态域名服务器出现故障或者内部维护的时候,动态域名服务器无方法提供服务。
3.动态域名服务器繁忙,正在排队处理登陆请求
4.ISP屏蔽了某些曾经非法使用过动态域名服务的IP地址段,导致部分用户根本无法使用。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 3.使用一端固定 IP 地址构建点对点 VPN
-
-
- 答案:
-
如下图,中心机 NETGEAR FVL328 Gateway A 的一端连接到局域网,内部 IP 为 192.168.0.1/24.。其广域网接口连接到互联网,并由ISP提供的固定 IP 地址及网关和子网掩码。分支机构 NETGEAR FVS318 Gateway B 的一端连接到局域网,内部 IP 为 172.10.10.1/24 ,其广域网接口连接到互联网,从 ISP 处动态获得IP地址。在该例子中,我们可以无需理会分支机构的 IP 地址而通过中心机构固定 IP 的地址,建立分支机构 B 到中心机构A的 VPN 连接,特点:该配置办法的优点是无需理会分支机构的 IP 地址,从而提高了 VPN 的连接的稳定性, VPN 的建立不依赖于 DDNS 的解释成功与否;缺点是:只能从分支点B主动向中心点A发起连接请求,而中心点A则不能够主动向分支点B发出连接请求。
图例一:一端使用固定IP地址的VPN配置
二.配置环境:
以下以中心点使用FVL328,分支点使用FVS318(如上图)为例子详细描述中心点和分支点的配置办法。
VPN 建立的模式
LAN-TO-LAN (FVS318àFVS328的Aggressive模式)
VPN 的类型
LAN-t o-LAN 或是 Gateway-to-Gateway
VPN 的安全配置
利用IKE进行密钥交换并采用共享密钥方式(不是CA认证方式)建立IPSEC通道)
产品型号和版本号
网关AFVL328
FVL328 用的版本号须使用 version 2.003
网关BFVS318
FVS318 用的版本号是version 2.4
IP 地址的方式
网关AFVL328
由ISP提供的固定IP地址及网关和子网掩码。
WAN IP:61.144.62.250
LAN IP:192.168.0.1,Netmask :255.255.255.0网关BFVS318
由ISP提供的动态IP地址及网关和子网掩码(无需申请动态域名)。
WAN IP:动态获得
LAN IP:172.10.10.1, Netmask :255.255.255.0三.配置详解:
2.1 固定地址的中心机构A配置:
首先登录到 FVL328 的管理界面:
- 在IE地址栏上输入,FVL328的出厂值默认的IP地址:http://192.168.0.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin 和默认的密码:password. 登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:
图例二:NETGEAR FVL328 v2.003basic 设置
2. 首先是配置VPN的IKE Policies策略了,链接到 VPN 工具栏, 打开里面的的IKE Policies 菜单. 点击 Add。我们会见到新 IKE Policy配置介面如下:
图例三:NETGEAR FVL328 v2.003IKE Policy 设置
- 在Policy Name 字段中输入策略的属性名字. 这个名称不一定要与对端的VPN产品取名一样它的用途主要上用来帮助管理IKE策略的。在这个例子中我们使用”to318”来作为策略名称。在 Policy Name对话框中输入”to318”
- 从这 Direction/Type 下拉对话框中,选取Both Directions或者Responder。
- 从Exchange Mode 模式的下拉菜单中,选择Aggressive Mode。
- 从 Local Identity Type下拉对话话框中,选择 Fully Qualified Domain Name (在Local Identity Data 对话框输入与FVS318对应的local作为一个标识符。)
- 从Remote Identity Type 下拉对话框中, 选择Fully Qualified Domain Name (在Remote Identity Data 对话框中输入与fvs318对应的remote作为一个标识符。)
- 从加密的算法 Encryption Algorithm 下拉框中, 选择3DES。
- 从认证算法的 Authentication Algorithm 下拉对话框中, 选择SHA-1。再把认证方法 Authentication Method 按钮选上, 点击 Pre-shared Key。
- 在 Pre-Shared Key field 对话框中, 输入共享密钥,如”Netgear2004”. 你必须确保两端网关设备有加密KEY是一至的(包括字母的大小写)。再从 Diffie-Hellman (DH) Group 下拉对话框中, 选择 Group 1(768 Bit)。
- 在 SA Life Time field对话框中, 输入180。
- 点击 Apply 按钮. 这就返回到IKE Policies 的主菜单上。
图例四:NETGEAR FVL328 v2.003IKE Policy 设置
3.在左边的 Settings 图示管理界面中,打开VPN分类栏中链接就可点击VPN Policies,我们来设置 VPN Policies 主界面的配置。点击 Add Auto Policy 的按钮..然后我们就可看到新的配置界面VPN–Auto Policy.
图例五:NETGEAR FVL328 v2.003VPN Policy设置
- 输入一个统一的策略名。这个名称不一定要与远端的VPN设备取的名称相同。在这个例子中我们使用”to318”来作为策略名。在Policy Name字段对话框中输入“to318”。
- 再从 IKE policy下拉对话框中, 选取我们先定义好的IKE Policy– 这里是”Remote-328”作为IKE Policy.
- 图上没有标明的地方:当对端的FVS318使用动态ADSL上网时候,IKE Keep Alive需要选择上,填入对方 FVS318 的 LAN 口 IP 地址:172.10.10.1
- 再从 Remote VPN Endpoint Address Type 下拉对话框中,选取”IP Address”。
- 在Remote VPN Endpoint Address Date中输入0.0.0.0作为远端 Gateway B的IP Address 。
- 默认在SA Life Time (Seconds) 对话框中输入86400。
- 默认在SA Life Time (Kbytes) 对话框中为输入0。
- IPSec PFS 对话复选框不必选上。.
- 再从Traffic Selector Local IP 下拉框中选取 Subnet address作为配置。.
输入本地LAN IP地址作为网关B的I范围在 Start IP Address 填上。(本例子中是:192.168.0.0),输入网关B的子网掩码(在本例中是:255.255.255.0) 在 Subnet Mask对话框中。 - 再从Traffic Selector Remote IP下拉对话框中选取Subnet address作为配置。
输入本地LAN IP地址作为网关B的I范围在 Start IP Address 填上。(本例子中是:172.10.10.0),输入网关B的子网掩码(在本例中是:255.255.255.0) 在 Subnet Mask对话框中。
图例六:NETGEAR FVL328 v2.003VPN Policy设置
- 再从 AH Configuration Authentication Algorithm 下拉框中, 选上 MD5.,在方框中不能选上。
- 必须选上Enable Encryption在 ESP Configuration Enable Encryption 的对话框。.
- 再从 ESP Configuration Encryption Algorithm 下拉对话框中选取3DES.
- 必须选上Enable Authentication 在 ESP Configuration Enable Authentication 的对话框中。
- 再从 ESP Configuration Authentication Algorithm 下拉对话框中选取SHA-1。.
- 可选上NETBIOS Enable的功能在NETBIOS Enable 复选框上。
- 点击Apply按钮。你会返回到 VPN Policies 主菜单的功能页面上。
图例七:NETGEAR FVL328 v2.003VPN Policy设置
2.2 动态地址的分支点B配置:
首先登录到FVS318的管理界面:
1.在IE地址栏上输入FVS318的出厂值默认的IP地址:http://172.10.10.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password。登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:
图例八: NETGEAR FVS318 v2.4 Basic设置
2. 在工具栏左边点击 VPN Settings. 点击第一个VPN连接。 (总共可以输入八个有效的VPN连接)。按Edit(编辑)按钮一下。这下面就是 VPN Settings – Aggressive Mode 的设置。
图例九: NETGEAR FVS318 v2.4 VPN设置
- 在Connection Name框中,输入一个VPN通道名称。例如:我们设为:“to328”.
- 在NETGEAR FVS318 Gateway B 的Local IPSec Identifier中输入本地身份认证标识。这个标识必须和对端FVL328 IKE Policy中的Remote IPSec Identifier相对应。在这个例子中对端FVL328 IKE Policy中的Remote IPSec Identifier为remote,因此,FVS318的 Local IPSec Identifier应该写上remote.
- 在 Remote IPSec Identifier 中输入远端身份认证表示,该标识必须和对端FVL328 IKE Policy中的Local IPSec Identifier的表示相一致。在这个例子中我们输入local作为the remote identifier。
- 在 Tunnel can be accessed from 下拉菜单中选择 a subnet from local addres。.
- 在Local LAN start IP Address输入本地LAN所在网段 (例如:172.10.10.1或者1972.10.10.0)。.
- 在Local LAN IP Subnetmask 的对话框中输入子网掩码 (例如:255.255.255.0 ) 。.
- 从 Tunnel can access的下拉菜单中选择 a subnet from local address。
- 在Remote LAN Start IP Address的对话框中输入对端(GatewayA)的内网的所在地址段 (例如:192.168.0.0) 。
- 在Remote LAN IP Subnetmask 的对话框中输入局域网的子网掩码(例如:255.255.255.0) 在。
- 在Remote WAN IP or FQDN 的对话框中输入对端FVS318 Gateway A的广域网接口的IP地址(例如:61.144.62.250)。
- 从 Secure Association 下拉框中, 选择Aggressive Mode。
- 在 Perfect Forward Secrecy, 选择Disable按扭。.
- 再从Encryption Protocol 下拉对话框, 选择3DES加密方式。.
- 在PreShared Key 对话框中 ,输入统一的子符串共享密钥。在这个例子中我们输入”netgear2004”. 你必须在对端的设备上输入同样的共享密码。.
- 在 Key Life 对话框, 输入28800 seconds.(出厂默认值)
- 在IKE Life 对话框中, 输入86400 seconds(出厂默认值)。.
- 如果你希望 NetBIOS数据流量从 VPN通道中运行,在前方方框中选择 NETBIOS Enable , 例如允许在Microsoft操作系统中的网络邻居看到对方的计算机就必须选上。
- 点击Apply 按钮这些所有配置都会存储到设备中. 然后就会返回到 VPN Settings 屏幕上。
图例十: NETGEAR FVS318 v2.4 VPN设置
3. 回到VPN Settings的界面,注意必须在您新建立的连接中选择Enable选项。
四.测试
当Gateway A和 Gateway B两端的VPN创建好之后,在分支点GatewayB的局域网内任一台电脑上PING中心端GatewayA的局域网主机地址。例如:ping 192.168.0.1 –t.在半分钟左右会通,证明美国网件(NETGEAR)ss="style103">VPN通道已建立连接。在VPN通道建立以后,中心GatewayA上的主机方可以和分支美国网件(NETGEAR)le103">GatewayB上的主机通讯。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 4.使用动态 IP 地址构建 FVS318 点对点 VPN
-
-
- 答案:
-
如下图,NETGEAR FVS318 Gateway A 的一端连接到局域网,内部IP为192.168.0.1/24.。其广域网接口连接到互联网,自动从供应商处获得动态的IP地址。NETGEAR FVS318 Gateway B 的一端连接到局域网,内部IP为192.168.0.1/24.。其广域网接口连接到互联网,自动从供商处获得动态的IP地址。要实现两台FVS318网关A和网关B之间的 VPN 连接。
图例一:固定IP地址的 VPN 应用
二.配置环境:
VPN 建立的模式 LAN-TO-LAN (FVS318-TO-FVS318的 Aggressive模式) VPN的类型 LAN-t o-LAN 或是 Gateway-to-Gateway VPN的安全配置 利用IKE进行密钥交换并采用共享密钥方式(不是能过CA认证方式)建立IPSEC通道。 产品型号和版本号 NETGEAR-网关 A
NETGEAR-网关 BFVS318 用的版本号是 version 2.4
FVS318 用的版本号是 version 2.4IP地址的方式
NETGEAR-网关A
NETGEAR-网关 B没有固定的IP地址
没有固定的IP地址三.配置详解:
2.1 网关A:FVS318的配置:
首先登录到FVS318的管理界面:
- 在IE地址栏上输入,FVS318的出厂值默认的IP地址:http://192.168.0.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password. 登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:
图例二:NETGEAR FVS318 v2.4 VPN 设置
-
在工具栏里点选Dynamic Dns,进行动态域名的配置,如图:
图例三:Dunamic Dns设置
-
点选Oray.net,这时系统会提示你输入的DNS 域名和用户名密码等登陆信息。
图例四:Dunamic Dns设置
-
点击Oray.net右边的连接,将引导用户进入网域动态域名的注册系统,在这里你可以申请一个免费的,唯一的动态域名,如图:
图例五:Dunamic Dns 设置
-
点击注册开始申请,在该例子中,我们为GATEWAY A注册一个名字为:netgear-a.ng.iego.net的动态域名。如下图:
图例六:Dunamic Dns 设置
- 动态域名设置完毕以后,在工具栏左边点击VPN Settings。点击第一个VPN连接。 (总共可以输入八个有效的VPN连接).。按Edit(编辑)按钮。如下图为VPN Settings里面的配置。
图例七:NETGEAR FVS318 v2.4VPN Settings (第一部分)
-
在Connection Name框中,输入一个VPN通道名称. 例如:我们设为:“to-Gateway B”.
-
在 NETGEAR FVS318 Gateway A的Local IPSec Identifier 中输入本地身份认证标识.。这个表示必须和对端的Remote IPSec Identifier相对应。在这个例子中使用gatewayA作为local identifier。
-
在Remote IPSec Identifier 中输入远端身份认证表示,该标识必须和远端的Local IPSec Identifier的表示相一致。在这个例子中我们输入gatewayB作为the remote identifier。
-
在Tunnel can be accessed from下拉菜单中选择a subnet from local addres。.
-
在Local LAN start IP Address输入本地LAN所在网段 (例如:192.168.0.0)。.
-
在Local LAN IPSubnetmask的对话框中输入子网掩码 (例如:255.255.255.0 ) 。.
-
从Tunnel can access 的下拉菜单中选择a subnet from local address。
-
在Remote LAN Start IP Address的对话框中输入对端(GatewayB)的内网的所在地址段 (例如:172.10.10.0) 在。
-
在Remote LAN IPSubnetmask的对话框中输入局域网的子网掩码(例如:255.255.255.0) 在。
-
在Remote WAN IP or FQDN的对话框中输入对端FVS318 Gateway B的动态域名地址(例如:netgear-a.ng.iego.net)。
图八:NETGEAR FVS318 v2.4 VPN Setting(第二部分)
-
从Secure Association下拉框中, 选择Aggressive Mode。
-
在Perfect Forward Secrecy, 选择Disable按扭。.
-
再从Encryption Protocol下拉对话框, 选择DES加密方式。.
-
在PreShared Key对话框中 ,输入统一的子符串共享密钥。在这个例子中我们输入”netgear2004”。您必须在对端的设备上输入同样的共享密码。.
-
在Key Life对话框, 输入28800 seconds.(出厂默认值)
-
在IKE Life对话框中, 输入86400 seconds(出厂默认值)。.
-
如果你希望 NetBIOS数据能从VPN通道中通过,则在前方方框中选择 NETBIOS Enable,例如允许在Microsoft操作系统中的网络邻居看到对方的计算机就必须选上。
-
点击Apply按钮,所有配置都会存储到设备中.。然后返回到VPN Settings屏幕上。
图例九: NETGEAR FVS318 v2.4 VPN 设置之后的VPN返回的状态介面
-
回到VPN Settings的界面上注意必须在您新建立的连接中选择Enable选项。.
2.2 网关A:FVS318的配置:
首先登录到FVS318的管理界面:
1.在IE地址栏上输入FVS318的出厂值默认的IP地址:http://172.10.10.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password。登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:
图例十: NETGEAR FVS318 v2.4 Basic设置
2. Gateway B的动态域名的设置可以参考2.1章节
3. 在工具栏左边点击 VPN Settings. 点击第一个VPN连接。 (总共可以输入八个有效的VPN连接)。按Edit(编辑)按钮一下。入下图为VPN Setting中的设置。
图例十一: NETGEAR FVS318 v2.4 VPN Settings (第一部分)
-
在Connection Name框中,输入一个VPN通道名称。例如:我们设为:“to-GatewayA”.
-
在NETGEAR FVS318 Gateway B的Local IPSec Identifier中输入本地身份认证标识.。这个标识必须和对端的Remote IPSec Identifier相对应。在这个例子中使用gatewayB作为local identifier。
-
在Remote IPSec Identifier 中输入远端身份认证表示,该标识必须和远端的Local IPSec Identifier的表示相一致。在这个例子中我们输入gatewayA作为the remote identifier。
-
在Tunnel can be accessed from下拉菜单中选择a subnet from local addres。.
-
在Local LAN start IP Address输入本地LAN所在网段 (例如:172.10.10.0)。.
-
在Local LAN IPSubnetmask的对话框中输入子网掩码 (例如:255.255.255.0 ) 。.
-
从Tunnel can access 的下拉菜单中选择a subnet from local address。
-
在Remote LAN Start IP Address的对话框中输入对端(GatewayA)的内网的所在地址段 (例如:192.168.0.0) 在。
-
在Remote LAN IPSubnetmask的对话框中输入局域网的子网掩码(例如:255.255.255.0) 在。
-
在Remote WAN IP or FQDN的对话框中输入对端FVS318的动态域名(例如:netgear-a.ng.iego.net)。
图例十二:NETGEAR FVS318 V2.4 VPN 设置(第二部分)
-
从Secure Association下拉框中, 选择Aggressive Mode。.
-
在Perfect Forward Secrecy, 选择Disable按扭。.
-
再从Encryption Protocol下拉对话框, 选择DES加密方式。.
-
在PreShared Key对话框中 ,输入统一的子符串共享密钥。在这个例子中我们输入”netgear2004”.你必须在对端的设备上输入同样的共享密码。.
-
在Key Life对话框, 输入28800 seconds.(出厂默认值)
-
在IKE Life对话框中, 输入86400 seconds(出厂默认值)。.
-
如果你希望 NetBIOS数据能从VPN通道中通过,则在前方方框中选择 NETBIOS Enable,例如允许在Microsoft操作系统中的网络邻居看到对方的计算机就必须选上。
-
点击Apply按钮这些所有配置都会存储到设备中. 然后就会返回到VPN Settings屏幕上。
图例十三: NETGEAR FVS318 v2.4 VPN 设置之后的VPN返回的状态界面
3. 回到VPN Settings的界面,注意必须在您新建立的连接中选择Enable选项。
四.测试
当Gateway A和Gateway B两端的VPN策略创建好之后,在两端的局域网任一台电脑上PING对方的局域网主机地址。例如:ping 172.10.10.1 –t.或Ping 192.168.0.1 –t 在半分钟左右会通,证明VPN通道已建立连接。
图例十四:测试VPN通道
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 5.使用固定IP地址构建FVS 318点对点VPN
-
-
- 答案:
-
如下图,NETGEAR FVS318 Gateway A 的一端连接到局域网,内部IP为192.168.0.1/24.。其广域网接口连接到互联网,并由ISP提供的固定IP地址及网关和子网掩码。NETGEAR FVS318 Gateway B 的一端连接到局域网,内部IP为192.168.0.1/24.。其广域网接口连接到互联网,并由ISP提供的固定IP地址及网关和子网掩码。要实现两台FVS318网关A和网关B之间的VPN连接。
图例一:固定IP地址的VPN应用
二.配置环境:
VPN 建立的模式:
LAN-TO-LAN (FVS318-TO-FVS318的MAIN模式)
VPN的类型
LAN-t o-LAN 或是 Gateway-to-Gateway
VPN的安全配置:
利用IKE进行密钥交换并采用共享密钥方式(不是能过CA认证方式)建立IPSEC通道。
产品型号和版本号:
NETGEAR-网关 A
FVS318 用的版本号是 version 2.4
NETGEAR-网关 B
FVS318 用的版本号是version 2.4
IP地址的方式:
NETGEAR-网关A
由ISP提供的固定IP地址及网关和子网掩码。
NETGEAR-网关 B
由ISP提供的固定IP地址及网关和子网掩码。
三.配置详解:
2.1 固定地址的网关A配置:
首先登录到FVS318的管理界面:
- 在IE地址栏上输入,FVS318的出厂值默认的IP地址:http://192.168.0.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password. 登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图
图例二:NETGEAR FVS318 v2.4 VPN 设置
- 在工具栏左边点击 VPN Settings. 点击第一个VPN连接。 (总共可以输入八个有效的VPN连接).。按Edit(编辑)按钮。这下面就是VPN Settings里面的配置。
图三:NETGEAR FVS318 v2.4VPN Settings (第一部分)
- 在Connection Name框中,输入一个VPN通道名称. 例如:我们设为:“to-Gateway B”.
- 在 NETGEAR FVS318 Gateway A的Local IPSec Identifier 中输入本地身份认证标识.。这个表示必须和对端的Remote IPSec Identifier相对应。在这个例子中使用0.0.0.0作为local identifier。
- 在Remote IPSec Identifier 中输入远端身份认证表示,该标识必须和远端的Local IPSec Identifier的表示相一致。在这个例子中我们输入0.0.0.0作为the remote identifier。
- 在Tunnel can be accessed from下拉菜单中选择a subnet from local addres。.
- 在Local LAN start IP Address输入本地LAN所在网段 (例如:192.168.0.0)。.
- 在Local LAN IPSubnetmask的对话框中输入子网掩码 (例如:255.255.255.0 ) 。.
- 从Tunnel can access 的下拉菜单中选择a subnet from local address。
- 在Remote LAN Start IP Address的对话框中输入对端(GatewayB)的内网的所在地址段 (例如:172.10.10.0) 在。
- 在Remote LAN IPSubnetmask的对话框中输入局域网的子网掩码(例如:255.255.255.0) 在。
- 在Remote WAN IP or FQDN的对话框中输入对端FVS318 Gateway B的广域网接口的IP地址(例如:218.18.10.18)。
图四:NETGEAR FVS318 v2.4 VPN Setting(第二部分)
- 从Secure Association下拉框中, 选择Main Mode.
- 在Perfect Forward Secrecy, 选择Enabled按扭。.
- 再从Encryption Protocol下拉对话框, 选择3DES加密方式。.
- 在PreShared Key对话框中 ,输入统一的子符串共享密钥。在这个例子中我们输入”netgear2004”.你必须在对端的设备上输入同样的共享密码。.
- 在Key Life对话框, 输入28800 seconds.(出厂默认值)
- 在IKE Life对话框中, 输入86400 seconds(出厂默认值)。.
- 如果你希望 NetBIOS数据流量从 VPN通道中运行,在前方方框中选择 NETBIOS Enable,例如允许在Microsoft 系统中的网络邻居看到对方的计算机就必须选上。
- 点击Apply按钮,所有配置都会存储到设备中.。然后返回到VPN Settings屏幕上。
图五: NETGEAR FVS318 v2.4 VPN 设置之后的VPN返回的状态介面。
回到VPN Settings的界面上注意必须在您新建立的连接中选择Enable选项。
2.2 固定地址的网关B配置:
首先登录到FVS318的管理界面:
1.在IE地址栏上输入FVS318的出厂值默认的IP地址:http://172.10.10.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password。登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图:
图六: NETGEAR FVS318 v2.4 VPN 设置
2. 在工具栏左边点击 VPN Settings. 点击第一个VPN连接。 (总共可以输入八个有效的VPN连接)。按Edit(编辑)按钮一下。这下面就是 VPN Settings – MAIN Mode 的设置。
图七: NETGEAR FVS318 v2.4 VPN Settings (第一部分) – MAIN Mode
- 在Connection Name框中,输入一个VPN通道名称。例如:我们设为:“to-Gateway A”.
- 在NETGEAR FVS318 Gateway B的Local IPSec Identifier中输入本地身份认证标识.。这个标识必须和对端的Remote IPSec Identifier相对应。在这个例子中使用0.0.0.0作为local identifier。
- 在Remote IPSec Identifier 中输入远端身份认证表示,该标识必须和远端的Local IPSec Identifier的表示相一致。在这个例子中我们输入0.0.0.0作为the remote identifier。
- 在Tunnel can be accessed from下拉菜单中选择a subnet from local addres。.
- 在Local LAN start IP Address输入本地LAN所在网段 (例如:172.10.10.0)。.
- 在Local LAN IPSubnetmask的对话框中输入子网掩码 (例如:255.255.255.0 ) 。.
- 从Tunnel can access 的下拉菜单中选择a subnet from local address。
- 在Remote LAN Start IP Address的对话框中输入对端(GatewayA)的内网的所在地址段 (例如:192.168.0.0) 在。
- 在Remote LAN IPSubnetmask的对话框中输入局域网的子网掩码(例如:255.255.255.0) 在。
- 在Remote WAN IP or FQDN的对话框中输入对端FVS318 Gateway A的广域网接口的IP地址(例如:61.144.62.250)。
图八:NETGEAR FVS318 V2.4 VPN 设置模式 – MAIN Mode
- 从Secure Association下拉框中, 选择Main Mode.
- 在Perfect Forward Secrecy, 选择Enabled按扭。.
- 再从Encryption Protocol下拉对话框, 选择3DES加密方式。.
- 在PreShared Key对话框中 ,输入统一的子符串共享密钥。在这个例子中我们输入”netgear2004”.你必须在对端的设备上输入同样的共享密码。.
- 在Key Life对话框, 输入28800 seconds.(出厂默认值)
- 在IKE Life对话框中, 输入86400 seconds(出厂默认值)。.
- 如果你希望 NetBIOS数据流量从 VPN通道中运行,在前方方框中选择 NETBIOS Enable,行, 例如允许在Microsoft操作系统中的网络邻居看到对方的计算机就必须选上。
- 点击Apply按钮这些所有配置都会存储到设备中. 然后就会返回到VPN Settings屏幕上。
图九: NETGEAR FVS318 v2.4 VPN 设置之后的VPN返回的状态界面
3. 回到VPN Settings的界面,注意必须在您新建立的连接中选择Enable选项。
四.测试
当Gateway A和 Gateway B两端的VPN创建好之后,在两端的局域网任一台电脑上PING对方的局域网主机地址。例如:ping 172.10.10.1 –t.或Ping 192.168.0.1 –t 在半分钟左右会通,证明VPN通道已建立连接。
- 在IE地址栏上输入,FVS318的出厂值默认的IP地址:http://192.168.0.1。然后系统要要求你输入登陆的用户名和密码。用默认的用户名:admin和默认的密码:password. 登陆到FVS318。我们假定已设定好LAN接口、广域网接口的IP地址和子网掩码以及网关、DNS服务器的IP地址。如下图
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 6.如何建立 FVS318v3 和 FVS318v1/v2 的 VPN
-
-
- 答案:
- 文档的适用范围
FVS318v3 – 产品序列号的前三位为 FVS9, 固件版本3.0.20。
FVS318v2 – 产品序列号的前三位为 FVS1, 固件版本v2.4。
FVS318v1 – 产品序列号的前三位为 FVS8, 固件版本v2.4。以下是一个两端为固定IP地址的 FVS318v3 和 FVS318v1/v2 构建VPN的配置例子。
FVS318v3 的配置
在FVS318v3的配置页面上,点击左边VPN菜单下的IKE Policy项目。出现如下配置页面。
点击Add按钮创建一个新的IKE策略。
-
在Policy Name字段中输入IKE策略的名字。这个名称不一定要与对端的VPN产品取名一样。它主要用来帮助管理IKE策略的。在这个例子中我们使用”toFVS318V1”来作为策略名称。
-
在Direction/Type 下拉对话框中,选取 Both Directions。
-
在Exchange Mode 模式的下拉菜单中,选择MainMode。
-
在 Local Identity Type下拉对话话框中,选择 WAN IP Address(在Local Identity Data 对话框输入设备会自动找到广域网口的IP地址作为一个标识符)。
-
从Remote Identity Type 下拉对话框中, 选择 Remote WAN IP (在Remote Identity Data 对话框中会自动找到远端设备的广域网端口的IP地址作为一个标识符)。
-
在加密的算法 Encryption Algorithm 下拉框中, 选择3DES。
-
在认证算法的 Authentication Algorithm 下拉对话框中, 选择 SHA-1。
-
再把认证方法 Authentication Method 按钮选上, 点击 Pre-shared Key。
-
在 Pre-Shared Key field对话框中, 输入”Netgear2004”. 你必须确保两端网关设备的加密钥匙是一致的(包括字母的大小写)。
-
再从 Diffie-Hellman (DH) Group 下拉对话框中, 选择 Group 2 (1024 Bit)。
-
在 SA Life Time field对话框中, 输入28800。
-
点击 Apply 按钮. 这就返回到IKE Policies 的主菜单上。
第二步,点击左边VPN菜单下的VPN Policy项目。出现如下配置页面。
点击Add Auto Policy按钮创建一个新的VPN策略。
-
在Policy Name对话框中输入“ toFvs318v1”作为策略名。
-
再从IKE policy下拉对话框中, 选取我们定义好的IKE Policy。这里是使用“toFvs318v1”作为IKE Policy。
-
再从Remote VPN Endpoint Address Type下拉对话框中,选取“Ip Address”。
-
在Address Date对话框中输入对端设备的固定IP地址。
-
在SA Life Time (Seconds)对话框中输入默认86400。
-
在SA Life Time (Kbytes)对话框中输入默认为4194303。
-
在IPSec PFS对话复选框中选上。.
-
从PFS Key Group下拉对话框中选取Group 2 (1024 Bit).
-
再从Traffic Selector Local IP下拉框中选取Subnet address。.
-
在Start IP Address填上本地LAN IP地址段。
-
在Subnet Mask对话框中填上本地的子网掩码。
-
再从Traffic Selector Remote IP下拉对话框中选取Subnet address。
-
在这Start IP Address上输入远端网关LAN IP地址。
-
在Subnet Mask字段上填上对端LAN子网掩码。
-
在ESP Configuration Enable Encryption里选上Enable Encryption对话框。.
-
在ESP Configuration Encryption Algorithm下拉对话框中选取3DES.
-
在ESP Configuration Enable Authentication选上Enable Authentication对话框。
-
在ESP Configuration Authentication Algorithm下拉对话框中选取SHA-1。.
-
如果想通过Windows的主机名查看对端的计算机,可在NETBIOS Enable复选框上选上NETBIOS Enable。
-
点击Apply按钮。VPN Policy 配置完毕。
FVS318v1/v2 的 VPN 配置
在FVS318v1/v2的管理页面上点击左边的VPN Settings菜单
在VPN Settings页面里选择一个没有用的策略号码,点击最下面的Edit按钮。 出现如下图的VPN配置页面
-
在Connection Name框中输入一个VPN策略名称.。例
-
在Local IPSec Identifier 中输入本地身份认证标识.。这个标识必须和对端的Remote IPSec Identifier的设置相对应。在这个例子中使用10.1.3.2作为local identifier。
-
在Remote IPSec Identifier中输入远端身份认证标识,该标识必须和远端的Local IPSec Identifier的设置表示相对应。在这个例子中我们输入10.1.2.2作为remote identifier。
-
在Tunnel can be accessed from下拉菜单中选择a subnet from local addres。.
-
在Local LAN start IP Address输入本地LAN所在网段。
-
在Local LAN IPSubnetmask的对话框中输入子网掩码。.
-
从Tunnel can access 的下拉菜单中选择a subnet from local address。
-
在Remote LAN Start IP Address的对话框中输入对端的内网的所在地址段。
-
在Remote LAN IPSubnetmask的对话框中输入对端局域网的子网掩码(。
-
在Remote WAN IP or FQDN的对话框中输入对端FVS318v3的广域网接口IP地址。
-
从Secure Association下拉框中, 选择Main Mode.
-
在Perfect Forward Secrecy, 选择Enabled按扭。.
-
再从Encryption Protocol下拉对话框, 选择3DES加密方式。.
-
在PreShared Key对话框中 ,输入统一的子符串共享密钥。
-
在Key Life对话框, 输入28800 seconds.(出厂默认值)
-
在IKE Life对话框中, 输入86400 seconds(出厂默认值)。.
-
如果想通过Windows的主机名查看对端的计算机,可在NETBIOS Enable复选框上选上NETBIOS Enable。
-
点击Apply按钮这些所有配置都会存储到设备中. 然后就会返回到VPN Settings页面上。
测试 VPN
我们可以通过ICMP测试VPN是否已经成功建立连接,在Windows的操作系统上常用的ICMP测试命令是PING。PING指令可以有效地反应两点之间的TCP/IP的连通性。在建立VPN通道的一个端点上让内网大一台电脑主机PING对端的电脑主机,如果PING显示响应,则表明VPN通道已经建立,并可以通过PING每个包的响应时间,响应率等参数观察VPN通道的质量,反之,则表明VPN通道建立不成功。
当然,我们也可以通过VPN status功能菜单里查看到VPN状态。
在FVS318v3的管理页面上,点击左边的VPN status菜单,便会出VPN Status/Log页面。在该页面里,我们可以看到IPSec建立时,会话一和会话二的详细信息。
在FVS318v1/v2的管理页面上,点击左边的Router status菜单,在出现的页面里点击Show VPN Status button按钮,便会出IPSec Connection Status页面。在该页面里,我们可以看到IPSec建立时,会话一和会话二的详细信息。
故障排除
1) 假如VPN没有建立起来,那么我们首先应该检查两个VPN端点之间的物理链路状况。首先,让VPN设备的Internet 端口允许PING的功能打开((FVS318v3 在Rules 菜单里, FVS318v1/v2 在Ports的菜单里), 确定你从VPN的一端PING另外一端的广域网端口的IP地址是能够PING通的。如果你使用的是动态的I互联网IP地址,则你必须确认在每一个VPN设备的VPN设置里面对端IP地址设(FQDN)定里的内容是最新的。如果是是使用动态域名服务来解释动态IP地址的,请你确认动态域名和IP地址是相对应的。
再次检查两台VPN设备上的VPN setting里的配置是否一致。其中的一些敏感的参数是必须要仔细检查的,如:pre-shared key是否一致,remote and local identifier是否互相对应,encryption 和authentication algorithms是否一致, exchange mode是否一致,PFS 是否同时启用等。2)假如VPN状态里显示VPN连接已经建立,但仍然不能通过VPN隧道获取网络资源的情况下,我们首先应该检查提供资源的主机是否和VPN路由器有效地连接,主机的网关是否已经指向VPN路由器。可以通过VPN路由器Diagnostics菜单里的PING命令检查路由器和主机的连通性。假如你是使用主机名访问的,可以尝试使用其IP地址进行访问。另外还需要确定提供资源的主机是否安装了个人防火墙或者在网络设置里使用了IP地址过滤规则,当确认上述情况以后还是访问失败,则可以尝试在两个VPN设备的VPN 策略里同时禁用PFS。
3) 假如你在FVS318v1/v2一端通过VPN隧道不能PING通对端的的局域网IP地址,这种情况是正常的,你可以尝试PING一下在FVS318v3局域网后面的主机,观察VPN隧道是否建立。
4) Netgear的VPN路由器都具有备份配置的功能,当你联系Netgear的技术支持的时候,提供一份产品的配置文件对Netgear的技术支持工程师帮助你更快地解决问题是很有帮助的,我们会在试验室里面,用相应的设备重新导入恁的配置文件,模拟用户的使用环境以确定问题的存在。我们在重新导入配置文件的时候需要输入用户设定的设备管理密码,所以当您打算将备份配置文件提交给我们的时候,请附带告诉我们设备的管理密码,另外,如果设备是禁止使用DHCP功能的,还需要告诉我们设备的默认IP地址。
-
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 7.用FVS124G / FVS338 / FVX538 的 QoS 实现服务优先级控制
-
-
- 答案:
-
VPN 防火墙里面的 Qos支持
全球领先的VPN 防火墙专家Netgear 出品的Fvs124g/fvs338/fvx538VPN防火墙都支持IEEE802.1D-1998(802.11p通用优先级别的Qos服务)。在Netgear的防火墙里面,优先等级的设定细分到每一个服务或者IP地址规则,Qos处理的优先级别取决于该服务或者IP地址规则所设定的优先等级,优先级别高的服务或者IP地址规则将会被优先处理。
在Netgear的VPN防火墙里面:
- 您可以选择接受默认优先级别设定的数据包,而不去改变他们的优先级别。
- 你可以修改默认的优先级别设定的数据包的级别,以改变防火墙对数据包处理的优先顺序。
注意:Qos优先级别的设定完全遵循IEEE 802.1D-1998 (formerly 802.1p) 标准的服务等级标记。
Netgear定义的Qos
Native ToS Setting
Netgear QoS Setting
None
6
5
4
3
2
7
7
6
5
4
3
2
6
6
6
5
4
3
2
5
5
6
5
4
3
2
4
4
6
5
4
3
2
3
3
6
5
4
3
2
2
2
6
5
4
3
2
1(默认)
1
6
5
4
3
2
0 (最低)
0
6
5
4
3
2
从上图可以观察到Netgear的VPN防火墙设备对来自内部网络的数据包的处理过程,Netgear定义的QoS有六个等级,来自网络的数据包将根据用户在规则内设定的QoS等级进行处理。举例如下:
例子1:当来自网络的数据包被定义为等级3,而在防火墙里定义该数据包通过的等级为NONE的时候,防火墙将按照等级3的优先次序来处理该数据包。
例子2:当来自网络的数据包被定义为等级3,而在防火墙里定义该数据包通过的等级为7的时候,防火墙将按照等级7的优先次序来处理该数据包。
例子3:当来自网络的数据包被定义为等级3,而在防火墙里定义该数据包通过的等级为2的时候,防火墙将按照等级2的优先次序来处理该数据包。
总结
从上面的介绍我们可以知道,我们不可以通过改变QoS的优先级别来控制WAN口的出口带宽,但我们可以通过该变某些服务的或者IP地址通过防火墙的优先级别,以保证在网络繁忙的时候,防火墙可以保障该重要服务或者IP地址通过,以有效地理由带宽资源。
Netgear防火墙上的QoS设定
在三个地方可以进行Qos优先级别的设定,现分别介绍如下:
1.在Services里面的 Add customer service里面
通过该页面可以定义否一个端口服务的Qos优先等级
图1:Add customer service
2.在rules里面的 Add inbound rules里面
通过该页面可以定义基于inbound规则的Qos优先等级
图2:Add inbound rules
3.在rules里面的 Add outbound rules里面
通过该页面可以定义基于outbound规则的Qos优先等级
图3:Add outbound rules
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 8.在FVS338_FVX538上如何配置及使用多个公网IP
-
-
- 答案:
-
前提:很多用户申请了多个公有IP,内部网络中也有若干台服务器需要直接对应于不同的公有IP对外进行服务的提供,其中有2种方式进行处理:
- 使用静态影射
- 使用DMZ
本文就FVS338与FVX538如何使用多个公有IP进行描述,同时介绍了如何在FVS338中进行DMZ的设置,整个过程比较简单,如果想了解FVX538的DMZ的设置,请参考FVX538的技术支持页面。
一、进入路由器管理页面(默认192.168.1.1),选择菜单栏Security/Rules页面,在此页建立Inbound Services。
二、设置与使用多个公有IP(FVS338与FVX538一样)
Service 选择ANY;(如果选择Any,则该公有IP对应的内部服务器的所有端口都开放了,不建议这么做,通常是对外提供什么服务就开放什么端口,如:只需要向外提供WEB服务,那么此处只选择‘HTTP/TCP:80即可)
Action 选择Allow Always;
Send to Lan Server输入内部服务器地址;(以192.168.1.38为例)
WAN Users 选择ANY;
Public Destination IP Address选择Other Public IP Address:此处应该填写还没有使用的公有IP,在此以210.21.59.230为例:
三、配置FVS338使用DMZ
如果使用广域网IP作为DMZ服务器对外IP,那么在新加Inbound Services的时候:
Service 选择ANY;
Action 选择Allow Always;
Send to Lan Server输入DMZ服务器地址;(以192.168.1.38为例)
WAN Users 选择ANY;
Public Destination IP Address选择Broadband.
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 9.如何解决不能在已经建立的 VPN 隧道里面通过映射网络驱动器拷贝文件的问题
-
-
- 10.FVL328与Windows 2000 自带 VPN 客户端的连接配置过程
-
-
- 答案:
-
The following will walk you through configuring the FVL328 and Windows 2000 Prof/Server and XP for VPN.
Wednesday, August 31, 2005
ROUTER STATUS
A. Please obtain the following information for Proper VPN configuration.
- Firmware Version and Release (this may be important if a possible bug is encountered)(The firmware version here is 1.3 release 12)
- WAN IP and Mask Address. (206.135.38.248)
- LAN IP (192.168.10.9) and Mask Address (255.255.255.0). (An attached devices IP Address will be used & not the FVL328’s LAN IP)
- Proceed to Attached devices an obtain an IP from the list, then proceed to IKE Policy.
IKE POLICY
B. Proceed and select ‘ADD.’
IKE POLICY CONFIGURATION
Cont.C.IKE Policy Configuration
- The Policy Name is for your reference only and not crucial to establishing a VPN connection.
- Please specify the ‘Direction Type’ as ‘Both.’
- Please specify the ‘Exchange Mode’ as ‘Main Mode.’
- Please specify the ‘Local Identity as ‘Local IP Address.’
- Please specify the ‘Remote Identity as ‘Remote IP Identity.’
- Please specify the ‘Encryption Algorithm’ as ‘DES.’
- Please specify the ‘Authentication Algorithm’ as MD5.’
- Please select ‘Pre-Shared Key’ for ‘Authentication Method’ and specify a key such as ‘123456789 (without the quotes and period).’
- Please select ‘APPLY’.
VPN Policies
D. Please select ‘Add Auto Policy.’ The Policy in this screen shot is what the policy will look like after we configure the policy.
AUTO VPN POLICY CONFIGURATION
E. Auto VPN policy
- Please specify a Policy Name. The ‘Policy Name’ is for your reference only.
- Please select the correct IKE Policy, which in this case is the IKE policy Name we just created.
- Please specify the ‘Remote VPN Endpoint’ as the Remote WAN’s IP address.
- Please select and check IPSec PFS and select Group 1 (768 Bit) for the PFS Key Group.
- Please specify the ‘Local IP’ under ‘Traffic Selector’ as ‘Subnet Address’ and specify the Local LAN IP and Mask address of the FVL328 accordingly.
- Please specify the ‘Remote IP’ under ‘Traffic Selector’ as ‘Subnet Address’ and specify the Remote LAN IP and Mask address if a router is used on the remote site and the WAN IP and Mask Address if the Remote is connected directly to the Internet without a Router.
- Now, we will check and enable Encryption, and Authentication. under ESP Configuration.
- Please specify ‘Encryption Algorithm’ as ‘DES,’ and ‘Authentication Algorithm’ as ‘MD5.’
VPN STATUS
F. VPN Status
- The above screen shot displays the logs and the IPSec and IKE SA that is displayed when a VPN Tunnel is established successfully.
Windows 2000, XP Local Security Settings
G. Local Security Policy is located at:
- Start.
- Control Panel.
- Administrative Tools.
- Local Security Policy.
H. Local Security Settings.
- Right click on IP Security Policies on Local Machine.
- Select and click on Create IP Security Policy.
IP Security Policy Wizard
I. Uncheck to ‘Activate the default response rule.’
IP Security Policy Name
J. Enter a ‘Name’ for the Policy, for example: “w2k_fvl328.”
K. The Description above was entered for Policy Description only and it states:
“Tunnel settings from the W2k to the FVL328.”
W2k_FVL328 Policy
L. Now we will create an IP security Rule for each tunnel one at a time as follows.
- Select ‘Add.’
New Rule Properties for W2k_FVL328
M. Please select ‘New IP Filter List’ and Select ‘Add.’
IP Filter List for W2k_FVL328
N. Specify the Name as ‘w2k_fvl328.’ The description we entered for description only as ‘IP Filter List from w2k to the fvl328.’
- Select ‘Add.’
IP Filter List Properties for W2k_FVL328
O. The Source address is set to ‘A specific IP Address.’
- Please set the IP address accordingly.
- Example: IP address is the WAN IP of the w2k system (206.135.38.247).
- The Subnet mask is set to broadcast.
P. The Destination address is set to ‘A specific IP Address.’
- Please set the IP address accordingly.
- Example: IP address is the LAN IP (192.168.10.11) of a workstation of the LAN and not that of the LAN IP of the FVL328
- The Subnet mask is set to broadcast.
- Please check ‘Mirrored.’
- Select ‘OK
Filter Action Properties
Q. Please select ‘Add.’
Filter Action Name for W2k_FVL328
R. Specify the Name as ‘w2k_fvl328.’ The description we entered for description only as ‘Filter Action from w2k to the fvl328.’
- Select ‘Next.’
Filter Action for W2k_FVL328
S. Please select ‘Negotiate Security’ and then select ‘Next.’
Filter Action for W2k_FVL328
T. Please select ‘Do not communicate with computers that do not support IPSec.’
- Select ‘Next.’
W2k_FVL328 Security Method
U. Please select High (Encapsulated Secure Payload) Data will be encrypted, authenticated, and modified.
- Select ‘Next.’
W2k_FVL328 Security Method Properties
V. We should now be at the New Rule Properties with w2k_fvl328 checked under ‘Filter Action.’
- Double click on the w2k_fvl328 Filter Action Rule.
- w2k_fvl328 properties is displayed as above.
- Please make sure that ‘Accept unsecured communication, but always respond using IPSec’ is checked, and that ‘Session key_Perfect Forward Secrecy’ is checked also.
- Select ‘OK
W2k_FVL328 Connection Type
W. Please select ‘Connection Type’ and make sure that ‘All network connections’ is selected.
- Select ‘Apply.’
W2k_FVL328 Tunnel Setting
X. Please select ‘Tunnel Setting” and select ‘The tunnel endpoint is specified by this IP Address.’ Please enter the IP Address of the WAN of the FVL328 (in this case: 206.135.38.248).
- Select ‘Apply.’
W2k_FVL328 Authentication Methods
Y. Please select ‘Authentication Methods’ and highlight ‘Kerberos’ and select ‘Add.’
W2k_FVL328 Authentication Method Properties
Z. Please select ‘Use the string to protect the key exchange (preshared key).’
- Type the following digits: 123456789 (I use these digits as an example and for testing purposes only. You may use a different digit format).
- Select ‘OK.’
W2k_FVL328 Authentication Method Main Display after configuration
Z1. The display above is a display of the Authentication Method once it is configured.
- Select ‘OK.’
W2k_FVL328 Properties
Z2. We will now create the Security Policy from the FVL328 to the W2k. A Security Policy is needed from both directions in-order to establish successfully.
- Select ‘Add.’
IP Filter List Creation for FVL328_W2k
Z3. Please be sure that ‘New IP Filter List’ is checked and then select ‘Add.’
IP Filter List for FVL328_W2k
Z4. Specify the Name as ‘fvl328_w2k.’ The description we entered for description only as ‘IP Filter List from fvl328 to the w2k.’
- Select ‘Add.’
Z5. The Source address is set to ‘A specific IP Address.’
- Please set the IP address accordingly.
- 1.Example : IP address is the LAN IP (192.168.10.11) of a workstation of the LAN and not that of the LAN IP of the FVL328.
- 2.The Subnet mask is set to broadcast (255.255.255.255).
Z6. The Destination address is set to ‘A specific IP Address.’
2. Please set the IP address accordingly.
- Example: IP Address is the WAN IP (206.135.38.247) of the W2k system
- The Subnet mask is set to broadcast (255.255.255.255).
- Please check ‘Mirrored.’
- Select ‘OK.’
IP Filter List after creation for FVL328_W2k
Z7. Select ‘Close.’
New Rule Properties for the FVL328_W2k
Z8. Please select fvl328_w2k in the IP Filter List and then select the ‘Filter Action’ tab.
Filter Action Properties for FVL328_W2k
Z8. Please select w2k_fvl328 and proceed to the ‘Connection Type’ tab and select ‘All network connections.’(We will use the w2k_fvl328 configuration for all the authentication methods. They are the same both ways). Proceed to ‘Tunnel Setting.’
Tunnel Setting for FVL328_W2k
Z9. Please select ‘The tunnel endpoint is specified by this IP Address and specify the WAN IP (206.135.38.247) address of the W2k system.
- Select the ‘Authentication Methods’ tab.
Authentication Methods for FVL328_W2k
Z10. Please highlight ‘Kerberos’ and select ‘Add.’
Authentication Method Properties for FVL328_W2k
Z11. Please select ‘Use this string to protect the key exchange (preshared key)’ and input the following digits: 123456789.
1. Select ‘OK.’
Authentication Method Main display for FVL328_W2k
Z12. Select ‘OK.’
w2k_fvl328 & fvl328_w2k IP Security Rules main
Z13. Please select the ‘General’ tab. It is not important which IP Security Rule is selected (but please makesure that both are checked) at this point.
w2k_fvl328 General Properties.
Z14. Please select ‘Advanced.’
w2k_fvl328 General/Key Exchange Settings
Z15. Please select ‘Methods.’
W2k_fvl328 Key Exchange Security Method
Z16. Please move up the correct Security Method Preference, which is the following:
Type = IKE
Encryption = DES
Integrity = MD5
Ditfie-Hellman Group = Low (1)Key Exchange Security Method Main
Z17. The above is the correct Security Method preference order.
Z18. Please select ‘OK, OK, Close.’
Local Security Settings Main
Z19. Please highlight the ‘w2k_fvl328’ Policy and right click on the policy and highlight ‘Assign.’
Local Security Settings Main
Z20. Once the w2k_fvl328 is assigned, the ‘Policy Assigned’ becomes ‘yes.’
Z21. Proceed to MS-DOS and ping the Workstation IP Address (192.168.10.11) specified in the VPN configuration.
Ping Command on the W2k system
Z22. Above we have pinged the LAN IP of the workstation on the FVL328. The replies indicate successful establishment.
FVL328 VPN Status with Success
Revised 04/08/03
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 11.Hub-and-Spoke 的概念与配置过程
-
-
- 答案:
-
-
Hub-and-Spoke:通俗表达来说:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。而在IP地址的规划方面,在总部我们可以申请相对稳定的固定公网IP地址及或者动态公网IP地址捆绑动态域名,而在分部则可以使用动态公网IP地址捆绑动态域名或者是使用不需要动态域名关联的单向接入方式,需要注意的是,在内网的IP地址规划方面,我们必须保证中心和分支机的内部网络都属于同一个A类/B类/C类网络的不同的子网,Hub-and-Spoke的详细的配置将在下文作详细介绍
-
目前NETGEAR支持Hub-and-Spoke的中心端VPN设备包括:
FVX538/FVS338/FVS124G/FVS318v3
-
配置案例:本例子中,中心端VPN设备使用FVX538和固定的公网地址接入方式,2个分支机构分别使用FVS338和FVS318,采用动态IP地址的接入方式,无需申请动态域名,另外还有一个动态客户端的接如,方案建成后,中心,分支,客户端之间的主机都可以通过其IP地址互相访问。
以下是硬件相关信息:
Nodes
Model
Firmware
WAN IP
LAN IP
LAN Netmask
中心l(Hub)
FVX538
V1.6.44
210.21.59.228
192.168.1.1
255.255.255.0
分支1(Spoke)
FVS338
V1.6.37
动态获取
192.168.2.1
255.255.255.0
分支 2(Spoke)
FVS318
V2.4
动态获取
192.168.3.1
255.255.255.0
客户端(Spoke)
ProsafeVPNClient
V10.3.5
动态获取
无需设置
无需设置
注意:各分支机构的LAN与中心的LAN子网前16位应该一致;
基本网络结构图如下:
一:Branch1 FVS338配置过程
1:首先进入FVS338的WEB管理页面,在`WAN Setup` / `Broadband ISP`下配置广域口。
2:进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图。
3:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮新建一条策略,配置如图。
二:Branch 2 FVS318配置过程
1:首先进入FVS318的WEB管理页面,在`Setup` / `Basic Settings`下配置广域口。
2:进入`Setup` / `VPN Settings`,选中其中一条策略,按`Edit`按钮来创建策略,配置如下图所示。
三:客户端Prosafe VPN Client的配置
- 打开客户端的策略配置界面,建立一个名字为ToCenter的客户端策略。
- 配置Sercurity Policy
- 配置ToCenter
- 配置My Identity
- 配置Presharekey
- 配置Authentication-Proposal 1
- 配置Key Exchange-Proposal 1
8. 查看客户端分配到的IP地址
在本方案中,客户端采用用FVX538自动取得IP地址的方法获得IP地址,我们可以通过在操作的系统的命令行模式下使用IPCONFIG命令查看PC的当前IP地址,该地址便是中心或分支机构访问客户端的主机所使用的IP 地址。
四:Central FVX538配置过程1:首先进入路由器的WEB管理页面,在`WAN Setup` / `WAN 1 ISP` 下配置其广域口,如图:
2:在WEB管理页面中选择`VPN` / `IKE Policies` 点`Add` 添加一条连接Branch 1 FVS338的IKE Policies,配置如图:
3:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮创建连接Brance 1 FVS338的一条策略,配置如图。
4:在WEB管理页面中选择`VPN` / `IKE Policies` 点`Add` 添加一条连接Branch 2 FVS318的IKE Policies,配置如图:
5:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮创建连接Branch 2 FVS318的一条策略,配置如图。
6:在WEB管理页面中选择`VPN` / Mode Config` 点`Add` 添加一条连接远程客户端的Mode Config Record,配置如图:
7.在WEB管理页面中选择`VPN` / `IKE Policies` 点`Add` 添加一条连接远程客户端的IKE Policies,配置如图
四:通过以上配置后,只要分支1、分支2、客户端与中心正确建立VPN隧道后,分支1和分支2和客户端主机之间就可通过总部的VPN设备实现数据连通。从而实现FVX538 VPN下的Hub-and-Spoke。
NB
-
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 12.FVX538/FVS338/FVS124G firmware 升级建议事项
-
- 答案:
- 升级到最新版本后需要将设备复位; 复位后再升级一次; 将设备重启动; 在router status中查看:primary firmware和secondary firmware是否一致;
-
- 13.如何配置 FVL328 来使用多个公有 IP 地址
-
-
- 答案:
-
需求:用户有多个公有IP,网络里面有几台服务器需要对外面提供服务(如:WEB/FTP/POP3/SMTP),每台服务器对应一个公有IP;
环境:防火墙用FVL328(F/W版本:2.0.07),3台服务器分别对外提供不同的服务;
那么在FVL328的设置上需要包括:
- 在NETWORK DATABSE里面要有3台服务器的相关信息;
- 在WAN里面分别定义好公有IP与3台服务器的对应关系;
- 在2定义好后,服务器的所有端口都是开放的,因此需要在Rules里面过滤掉不需要开放的端口:
1)定义服务范围;
2)定义规则
首先我们有随专线分配的三个固定IP地址:210.21.56.228、210.21.56.229、210.21.56.230,具体规划如下图:
打开浏览器,在其中的地址栏中输入http://192.168.0.1进入FVL328的管理页面,点击左边的“Basic Settings”,在右边的”Internet IP Address”中输入默认的公网IP地址:如下图。
这时候我们的VPN防火墙也只能够给内网用户提供代理上网的功能,还未能实现对公网用户提供服务的功能,例如:公司网站、邮件服务、FTP等的服务。假设公司在域名服务提供商处注册的域名为:test.net,且A记录指针指向分别为
www.test.net —>210.21.56.228
mail.test.net —>210.21.56.229
ftp.test.net —> 210.21.56.230
做完以上工作后,我们就需在FVL328防火墙中把这几个地址绑定于WAN口上,假定我们内网提供www,mail,ftp的三台服务器的地十分别是 192.168.0.170、192.168.0.171、192.168.0.172,我们只需做如下设置即可,如下图所示:
通过以上设置后,当Internet用户想访问公司服务器的时候,连接请求将会是如下流程:
Internet User —> www.test.net —>210.21.56.228 —>192.168.0.170
Internet User —> mail.test.net —>210.21.56.229 —>192.168.0.171
Internet User —> ftp.test.net —> 210.21.56.230 —>192.168.0.172
至此,我们的VPN防火墙已经实现了对外网用户多IP进行反向NAT的功能。
但是还有一个安全问题就是,这样的话,我们每台服务器的所有端口将全部对外网开放,为了只对使每台服务器只对外开放必需的端口外,如:WWW服务器只开放TCP80、MAIL服务器只开放TCP25&110、FTP服务器只开放TCP20&21,所以我们还须做如下设置:进入防火墙的WEB配置页面,在左边的“Security”中的“Service”中添加自定义的服务:如图所示:
在“Service”中添加完对端口的定义后,我们需在“Rules”中应用,在其“Inbound Services”中按“添加”把相应的端口策略分别定义在内网服务器上,如下图所示:
最终所有端口策略定义后,Inbound Servers 内容应为下图所示:
通过以上设置后,Internet用户就只能访问内网服务器的 20、21、25、80、110端口,从而起到保护服务器的功能。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 14.使用路由器后无法使用 VPN 的故障排除
-
-
- 答案:
-
- VPN是在因特网上安全地连接两个网络的方法,例如连接一个家庭网络和一个办公网络。它需要两边网络都具有特殊的设备或软件。
- 路由器的VPN 穿透功能并非指它能胜任建立VPN的工作,而是指它能运行其他设备创建的VPN隧道通过。NETGEAR的所有路由器均支持IPSec, PPTP 及L2TP的VPN穿透,且是在默认情况下,无需对路由器的任何设置进行修改。
- 若在安装了NETGEAR的路由器后无法使用原来的VPN,请参看下述内容:
- 若您的VPN设备支持 NAT-T (NAT穿透),但缺省时未启用,那么请启用此功能。
- 联系您的网管,让他(她)协助您完成VPN的配置 (通用的VPN客户端软件有Cisco NAT-T或NETGEAR ProSafe等。
- 若您的公司使用L2TP穿透,已将您电脑的MAC地址注册到了公司的系统管理员。那么找到路由器的MAC地址(在路由器背面),将其注册。
- 升级路由器固件。
- 打开端口映射。IPsec VPN的端口为50、51、500,PPTP VPN的端口为1723,L2TP的端口为1701。
- 缺省情况下,NETGEAR路由器的防火墙功能会将WAN口收到的来自因特网的ICMP包丢弃,而您的VPN应用可能将用到ICMP数据包,所以可登录到路由器管理页面选择左边功能列表的WAN Setup ,在Respond to ping on Internet Port前打勾。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 15.路由器的 VPN 穿透功能
-
-
- 答案:
-
- 路由器支持VPN穿透的功能并非是指它能创建VPN隧道,而只表示它允许由其他终端所创建的VPN隧道通过它。而通过路由器的VPN隧道数目又要视情况而定,如:
- VPN连接的目标网关不止一个
- 所连接的VPN网关是否支持NAT穿透的检测,即是否支持NAT-T.
- 下图所示为两个VPN连接首先通过了支持VPN穿透的NETGEAR路由器,再与各自的VPN网关建立VPN:
- 此例则不同于上例,NETGEAR路由器后面有三台电脑同时向因特网中的同一个VPN网关发起VPN连接,而这些电脑在因特网中占用的公网IP是同一个,这是由于路由器的NAT功能将所有私网地址映射为了同一个公网IP地址。由此一来,因特网中的VPN网关就无法分辩这些电脑,会将所有来自它们的信息包视为由同一台电脑所发出。
- 但如果VPN网关支持NAT-T的话,则可对来自同一网络的多台电脑进行识别,此方案就可行了。NETGEAR的 FVS318v3, FVS124G, FVS338及FVX538 都支持NAT-T。
- 同时,作为VPN隧道发起方的 VPN client也不需要支持NAT-T。
- 路由器支持VPN穿透的功能并非是指它能创建VPN隧道,而只表示它允许由其他终端所创建的VPN隧道通过它。而通过路由器的VPN隧道数目又要视情况而定,如:
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 16.VPN 客户端故障排除
-
-
- 答案:
-
- 安装问题
- 您的电脑上只能安装一个 IPSec 的客户端。
- 若您之前安装过其他的客户端软件,如 SafeNet、Checkpoint、Cisco等等,必须在安装 NETGEAR 的 VPN 客户端之前将其卸载并重启电脑。
- 功能问题
- NETGEAR VPN 客户端中缺省的 SA Lifetime 是未定义的,若发现您的VPN隧道建立后会频繁的中断可为此参数设定一个数值(须参考客户端连接的VPN网关的SA参数值来设置)。
- 谨用Virtual Adapter,除非您确定您需要使用它。
- 若您的电脑启用了软件防火墙,如 Norton Firewall、ZoneAlarm 等,那么 VPN 客户端可能无法发起VPN连接,可将软件防火墙关掉后重试。
- 若与VPN网关设备成功建立VPN后,无法通过其局域网电脑的IP地址访问到共享资源,请确认被访问的电脑关掉了所有的软件防火墙,如Norton、ZoneAlarm、瑞星、Windows 连接防火墙等。
- 安装问题
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 17.如何设置 Netgear 的 FVX538与 FVS318v3的进行 VPN 连接
-
-
- 答案:
-
- 应用环境:企业分部与总部建立VPN隧道,即可通过连接来访问双方的局域网资源。
- 网络设备状况:总部(FVX538,固定IP地址),分部(FVS318v3,动态IP地址)。
- 网络需求:总部与分部都能正常接入Internet,总部使用固定IP,分支机构使用动态ADSL
- 硬件相关信息:
Router
Model
Firmware
WAN IP
LAN IP
LAN Netmask
Central
FVX538
V1.6.49
202.12.13.11
192.168.0.1
255.255.255.0
Branch
FVS318v3
V3.0.22
动态的IP
192.168.1.1
255.255.255.0
一:Central FVX538配置过程
1:首先进入路由器的WEB管理页面,在`WAN Setup` / `WAN 1 ISP` 下配置其广域口,如图:
2:在WEB管理页面中选择`VPN` / `IKE Policies` 点`Add` 添加一条连接Branch FVS318v3的IKE Policies,配置如图:
3:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮创建连接Brance FVS318v3的一条策略,配置如图。
二:Branch FVS318v3配置过程
1:首先进入FVS318v3的WEB管理页面,在basic settings下配置广域口。
2:进入`VPN` / `IKE Policies` 下,点`Add` 按钮新建一条策略,配置如图。
4:进入`VPN` / `VPN Policies` 下,点`Add Auto Policy` 按钮新建一条策略,配置如图。
三:测试连接
- 在DOS命令提示符下,FVX538端可以PING通192.168.1.X,FVS318v3端可以PING通192.168.0.X。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 18.如何配置 'Netgear ProSafe VPN Client 连接到 FVL328 or FVS328’
-
-
- 答案:
-
以下为通过拔号上网或因定IP上网方式的情况下,如何通过 Netgear ProSafe VPN 客户端软件与 FVL328 或 FVS328间建立一条 VPN 隧道.
- 以下测试在FVL328 f/w 1.5.9 、FVS328 f/w 1.0和Netgear VPN client software version 10上通过。
- 更早期的版本或最新版本也是类似配置.
请在开始配置前,需先了解以下信息:
- 路由器的广域口IP地址或域名(FQDN),在Maintenance > Router Status下可查看到Internet端口IP地址。如果路由器是动态获取IP地址的,请先在 Advanced> Dynamic DNS中设置自已的动态域名,否则下次启动路由器后,Internet 端口的IP地址将会改变而导致VPN客户端无法连接。
- 本地局域网的IP地址段,路由器缺省是192.168.0.0的地址段. 在 Advanced > LAN IP Setup下可查看到LAN端口的IP地址。
路由器配置:
- 登录进 FVL328 (or FVS328)。
- 设置 IKE Policies:VPN > IKE Policies。在 IKE Policies Menu下选择’Add’。
- 在Policy Name后输入一个策略名. 建议输入一个针对接入端方式且容易明了的名字,此例中我们选择 ‘VPNClient’。
- 选择 Direction/Type > Remote Access。
- 选择 Exchange Mode > Aggressive Mode。
- 在Local Identity Type 下拉列表中, 选择 WAN IP Address or Fully Qualified Domain Name。
- 如果选择 Fully Qualified Domain Name, 确保你的动态域名(FQDN)能正确解析为你当前的WAN IP地址,并且在Local Identity Data. 后面输入你的动态域名。
- 选择 Remote Identity Type > Fully Qualified Domain Name。
- 选择合适的FQDN在 Remote Identity Data.选项中,此FQDN在配置客户端软件时也同时会用到。
配置 IKE SA 参数时, 选择加密算法(例如3DES) 和验证算法(例如MD5).当你配置客户端的时候,需要配置为相同的算法。
在 Pre-shared Key 后面输入密钥,当配置客户端时也需要相同的密钥。- 选择 Diffie-Hellman (DH) Group > Group2 (1024 Bits)。
- 在 SA Life Time 后输入180。
- 完成后,点击Apply。
- 设置 VPN Policies:VPN> VPN Policies . 在VPN Policies Menu 下选择’ Add Auto Policy’。
- 给此 VPN policy起个策略名。
- 在 IKE policy 后选择刚才建立的IKE策略名。
- 在 Remote VPN Endpoint后面选择IP Address 。
- 在 Address Data 后输入 0.0.0.0.
- SA Life Time 后选择300秒和0 Kybtes。
- PFS Key Group部分选择IPSec PFS 和Group 2 (1024 Bit)。
- 在 Traffic Selector选项部份,Local IP > Subnet address 中配置为本局域网内的IP地址段。
- 配置Remote IP > Any。
- 选择 ESP Configuration > Enable Encryption 并且选择相应的加密算法。
选择 Enable Authentication 并且选择相应的验证算法. 你在配置 VPN 客户端软件时需要选择相同的加密和验证算法,这里我们选择3DES 和 MD5。
- 完成后,点击Apply。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
