【终端接入篇】使用常见移动终端远程接入企业内网

[复制链接]
发表于 : 2017-3-13 10:42:13 最新回复:2019-10-26 13:17:56
4810 10
强叔侃墙
强叔侃墙 官方号

1 通过L2TP over IPSec方式

移动办公用户可以使用便携设备与总部网关之间建立L2TP over IPSec隧道,通过隧道远程接入企业内网、访问内网服务器资源。

组网描述

1-1所示,移动办公用户使用便携终端(LAC)进行拨号,向企业网关(LNS)发起连接请求,建立L2TP over IPSec VPN隧道。隧道建立完成后,移动办公用户可以安全访问企业内网服务器。

图1-1 移动办公用户使用便携设备与总部网关建立L2TP over IPSec隧道应用场景

20170313103820114001.png

 

数据规划

项目

数据

LNS

接口号:GigabitEthernet 1/0/1

IP地址:1.1.1.2/24

安全区域:Untrust

接口号:GigabitEthernet 1/0/3

IP地址:10.1.1.1/24

安全区域:Trust

Virtual-Template接口

接口号:Virtual-Template 1

IP地址:10.1.1.1/24

地址池

IP pool 1

地址范围:10.1.2.210.1.2.100

L2TP配置

认证方式:CHAPPAP

隧道验证:关闭

用户认证名称:vpdnuser

用户认证密码:Hello123

IPSec配置

建立方式:策略模板

封装模式:自适应模式

安全协议:ESP

ESP协议验证算法:md5

ESP协议加密算法:des

预共享密钥:Admin@123

本端IDIP地址

对端ID:接受任意对端ID

LAC

接入地址:1.1.1.1

用户名:vpdnuser

密码:Hello123

密钥:Admin@123

 

配置思路

1.         完成NGFW的基本配置、包括接口、安全策略、路由的配置。

2.         NGFW上完成L2TP over IPSec的配置。

3.         在移动办公用户的便携设备上完成配置,配置参数需要与NGFW的参数对应。

配置步骤(企业网关侧)

                                步骤 1      配置接口IP地址和安全区域。

1.         配置接口IP地址。

<LNS> system-view
[LNS] interface GigabitEthernet 1/0/1
[LNS-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[LNS-GigabitEthernet1/0/1] quit
[LNS] interface GigabitEthernet 1/0/3
[LNS-GigabitEthernet1/0/3] ip address 10.1.1.1 24
[LNS-GigabitEthernet1/0/3] quit

2.         配置接口加入相应安全区域。

[LNS] firewall zone untrust
[LNS-zone-untrust] add interface GigabitEthernet 1/0/1 
[LNS-zone-untrust] quit
[LNS] firewall zone trust 
[LNS-zone-trust] add interface GigabitEthernet 1/0/3
[LNS-zone-trust] quit

                                步骤 2      配置安全策略。

1.         配置安全策略,允许移动办公用户主动向总部发起访问。

[LNS] security-policy
[LNS-policy-security] rule name policy_ipsec_1
[LNS-policy-security-policy_ipsec_1] source-zone untrust
[LNS-policy-security-policy_ipsec_1] destination-zone trust
[LNS-policy-security-policy_ipsec_1] destination-address 10.1.1.0 24
[LNS-policy-security-policy_ipsec_1] source-address range 10.1.2.1 10.1.2.100
[LNS-policy-security-policy_ipsec_1] action permit
[LNS-policy-security-policy_ipsec_1] quit

2.         配置安全策略,允许总部主动向移动办公用户发起访问。

[LNS-policy-security] rule name policy_ipsec_2
[LNS-policy-security-policy_ipsec_2] source-zone trust
[LNS-policy-security-policy_ipsec_2] destination-zone untrust
[LNS-policy-security-policy_ipsec_2] source-address 10.1.1.0 24
[LNS-policy-security-policy_ipsec_2] destination-address range 10.1.2.1 10.1.2.100
[LNS-policy-security-policy_ipsec_2] action permit
[LNS-policy-security-policy_ipsec_2] quit

3.         配置安全策略,允许移动办公用户与总部协商建立IPSec隧道。

[LNS-policy-security] rule name policy_ipsec_3
[LNS-policy-security-policy_ipsec_3] source-zone untrust
[LNS-policy-security-policy_ipsec_3] destination-zone local
[LNS-policy-security-policy_ipsec_3] destination-address 1.1.1.1 32
[LNS-policy-security-policy_ipsec_3] action permit
[LNS-policy-security-policy_ipsec_3] quit

                                步骤 3      配置L2TP

1.         启用L2TP功能。

[LNS] l2tp enable

2.         创建并配置L2TP组。

[LNS] l2tp-group 1
[LNS-l2tp1] allow l2tp virtual-template 1
[LNS-l2tp1] undo tunnel authentication
[LNS-l2tp1] quit

3.         设置认证方案default的认证方式为本地认证。

[LNS] aaa
[LNS-aaa] authentication-scheme default 
[LNS-aaa-authen-default] authentication-mode local
[LNS-aaa-authen-default] quit

4.         配置default域引用认证方案default

[LNS-aaa] domain default 
[LNS-aaa-domain-default] authentication-schem default

5.         配置给接入设备分配地址的地址池。

[LNS-aaa-domain-default] ip pool 1 10.1.2.2 10.1.2.100
[LNS-aaa-domain-default] quit
[LNS-aaa] quit

6.         配置本地用户。

[LNS] user-manage user vpdnuser domain default
[LNS-localuser-vpdnuser] password Hello123 
[LNS-localuser-vpdnuser] quit

7.         配置虚拟模板接口Virtual-Template 1

[LNS] interface Virtual-Template 1
[LNS-Virtual-Template1] ppp authentication-mode chap pap
 The command is used to configure the PPP authentication mode on the local end. 
Confirm that the peer end adopts the corresponding PPP authentication. Continue[Y/N]: y
[LNS-Virtual-Template1] ip address 10.1.2.1 255.255.255.0
[LNS-Virtual-Template1] remote address pool 1
[LNS-Virtual-Template1] quit

8.         将虚拟接口模板加入Untrust区域。

[LNS] firewall zone untrust 
[LNS-zone-untrust] add interface Virtual-Template 1
[LNS-zone-untrust] quit

                                步骤 4      配置IPSec

1.         创建高级ACL 3000

[LNS] acl 3000 
[LNS-acl-adv-3000] rule 5 permit udp source-port eq 1701
[LNS-acl-adv-3000] rule 10 permit udp destination-port eq 1701
[LNS-acl-adv-3000] quit

2.         配置IKE peer

[LNS] ike peer a
[LNS-ike-peer-a] exchange-mode auto
[LNS-ike-peer-a] local-id-type ip
[LNS-ike-peer-a] remote-id-type none
[LNS-ike-peer-a] nat traversal
[LNS-ike-peer-a] ike negotiate compatible
[LNS-ike-peer-a] pre-shared-key Admin@123 
[LNS-ike-peer-a] quit

3.         配置IPSec安全提议tran1

[LNS] ipsec proposal tran1
[LNS-ipsec-proposal-tran1] encapsulation-mode auto
[LNS-ipsec-proposal-tran1] transform esp 
[LNS-ipsec-proposal-tran1] esp authentication-algorithm md5
[LNS-ipsec-proposal-tran1] esp encryption-algorithm des 
[LNS-ipsec-proposal-tran1] quit

4.         配置模板方式的IPSec策略policy

[LNS] ipsec policy-template policy_temp 1 
[LNS-ipsec-policy-template-policy_temp-1] security acl 3000 
[LNS-ipsec-policy-template-policy_temp-1] proposal tran1 
[LNS-ipsec-policy-template-policy_temp-1] ike-peer a 
[LNS-ipsec-policy-template-policy_temp-1] quit
[LNS] ipsec policy policy 10 isakmp template policy_temp

5.         在接口GigabitEthernet 1/0/1上应用安全策略policy

[LNS] interface GigabitEthernet 1/0/1 
[LNS-GigabitEthernet1/0/1] ipsec policy policy
[LNS-GigabitEthernet1/0/1] quit

                                步骤 5      配置总部设备的路由。

总部设备上要有到L2TP地址池地址的路由才能与出差员工通信,路由的下一跳要指向NGFW的内网接口地址。

----结束

配置步骤(移动办公用户侧)

移动办公用户使用的接入设备及接入客户端类型不同,远程接入的配置方法也略有不同。下表中列出了几种目前比较常用的接入设备和接入客户端的接入配置方法,请根据实际需要选择阅读。

接入设备类型

接入客户端类型

接入客户端版本

PC

软件客户端

Secoway VPN Client(详见下方-附录1)

Windows

Windows 10详见下方-附录2)

Windows 7(详见下方-附录3)

Windows XP(详见下方-附录4)

Mac OS

Mac OS X10(详见下方-附录5)

智能手机

iPhoneiOS

iOS 10.0(详见下方-附录6)

Android

Android 6.0(详见下方-附录7)

 

结果验证

移动办公用户侧的结果验证在其配置步骤的最后一步中已经给出,此处仅提供企业网关侧的结果验证方法。

1.         当该VPN用户上线时,在LNS上执行display l2tp tunnel命令可看到隧道建立成功。

<LNS> display l2tp tunnel
 Total tunnel = 1                                                               
 LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName                 
 1        1         3.3.3.3          5524   1        -  

2.         LNS上执行display l2tp session命令可看到会话连接建立成功。

<LNS> display l2tp session
 Total session = 1                                                               
 LocalSID  RemoteSID  LocalTID                                                  
  2         1          1   

3.         LNS上执行display ike sadisplay ipsec sa brief命令可看到IKEIPSec隧道建立成功。

<LNS> display ike sa
current ike sa number: 2                                                         
-----------------------------------------------------------------------------   
conn-id    peer                                    flag          phase vpn      
-----------------------------------------------------------------------------   
4          3.3.3.3:5524                            RD|A          v1:2  public   
3          3.3.3.3:5524                            RD|A          v1:1  public   
                                                                                 
                                                                                
  flag meaning                                                                  
  RD--READY      ST--STAYALIVE     RL--REPLACED    FD--FADING    TO--TIMEOUT     
  TD--DELETING   NEG--NEGOTIATING  D--DPD          M--ACTIVE     S--STANDBY     
  A--ALONE
 
<LNS> display ipsec sa brief
current ipsec sa number: 2                                                      
current ipsec tunnel number: 1                                                   
Src Address     Dst Address     SPI        Protocol  Algorithm                  
------------------------------------------------------------------------------  
3.3.3.3         1.1.1.1         1826317110 ESP       E:‘DES’;A:HMAC-MD5-96;       
1.1.1.1         3.3.3.3         209587142  ESP       E:‘DES’;A:HMAC-MD5-96;      


2 通过EAP+IKEv2方式

 

NGFW与一台AP设备对接建立IPSec隧道,且AP设备支持EAP认证。采用IKEv2方式建立隧道,并通过RADIUS服务器对AP设备进行EAP认证。

组网描述

1-4所示,公司总部通过NGFW接入外网。移动办公用户使用AP设备接入总部。要求实现AP设备安全访问IPSec保护的内网服务器。NGFW采用IKEv2方式与AP设备进行IPSec隧道协商,通过RADIUS服务器对AP设备进行EAP认证,并为AP设备分配访问内网的IP地址。AP设备的部署和配置不在本案例中介绍。

图2-1 移动办公用户通过AP设备与总部网关建立IPSec隧道应用场景

20170313103916313067.png

 

数据规划

项目

数据

NGFW

接口号:GigabitEthernet 1/0/3

IP地址:10.3.0.1/24

接口号:GigabitEthernet 1/0/1

IP地址:1.1.1.1/24

IKE配置

IKE的预共享密钥:Test!123

IKE验证身份类型:IP

IKE对端地址:pool 0

IKE版本:IKEv2

IPSec配置

建立方式:策略模板

封装模式:隧道模式

安全协议:ESP

ESP协议验证算法:SHA2-256

ESP协议加密算法:AES

Radius认证配置

共享密钥:Test!123

认证端口:1812

AAA域地址池

10.6.1.1/2410.6.1.254/24

AP设备

IP地址:20.2.2.3/24

IKE配置

IKE的预共享密钥:Test!123

IKE验证身份类型:IP

IKE对端IP地址:1.1.1.1

IKE版本:IKEv2

IKEv2认证方式:EAP

IPSec配置

建立方式:非模板

封装模式:隧道模式

安全协议:ESP

ESP协议验证算法:SHA2-256

ESP协议加密算法:AES

其他配置

请在APRADIUS服务器上分别配置到达对端的路由。

地址池中的地址不能和AP需要访问的总部服务器地址在同一网段。为使AP能够正常访问总部,需要在总部服务器上配置一条到达地址池网段的路由,下一跳为10.3.0.1

 

配置思路

1.         完成NGFW的基本配置。

2.         由于总部服务器要接受AP访问,而不会主动发起协商,故使用模板方式建立NGFWIPSec策略。

3.         配置NGFWRADIUS服务器模板,认证模板和域。以实现对接入用户进行RADIUS认证以及为AP分配地址。

配置步骤

                                步骤 1      配置NGFW

1.         配置接口IP地址,并将接口加入安全区域。

#配置接口IP地址。

<NGFW> system-view 
[NGFW] interface GigabitEthernet 1/0/1 
[NGFW-GigabitEthernet1/0/1] ip address 1.1.1.1 24 
[NGFW-GigabitEthernet1/0/1] quit 
[NGFW] interface GigabitEthernet 1/0/3 
[NGFW-GigabitEthernet1/0/3] ip address 10.3.0.1 24 
[NGFW-GigabitEthernet1/0/3] quit

#配置接口加入相应安全区域。

[NGFW] firewall zone untrust 
[NGFW-zone-untrust] add interface GigabitEthernet 1/0/1  
[NGFW-zone-untrust] quit 
[NGFW] firewall zone trust  
[NGFW-zone-trust] add interface GigabitEthernet 1/0/3 
[NGFW-zone-trust] quit

2.         开启域间安全策略。

# 开启TrustUntrust安全区域的域间策略,保证报文能够正常发送。

[NGFW] security-policy 
[NGFW-policy-security] rule name policy_ipsec_1 
[NGFW-policy-security-rule-policy_ipsec_1] source-zone trust 
[NGFW-policy-security-rule-policy_ipsec_1] destination-zone untrust 
[NGFW-policy-security-rule-policy_ipsec_1] source-address 10.3.0.0 24 
[NGFW-policy-security-rule-policy_ipsec_1] destination-address 20.2.2.3 32  
[NGFW-policy-security-rule-policy_ipsec_1] action permit 
[NGFW-policy-security-rule-policy_ipsec_1] quit 
[NGFW-policy-security] rule name policy_ipsec_2 
[NGFW-policy-security-rule-policy_ipsec_2] source-zone untrust 
[NGFW-policy-security-rule-policy_ipsec_2] destination-zone trust 
[NGFW-policy-security-rule-policy_ipsec_2] source-address 20.2.2.3 32  
[NGFW-policy-security-rule-policy_ipsec_2] destination-address 10.3.0.0 24  
[NGFW-policy-security-rule-policy_ipsec_2] action permit 
[NGFW-policy-security-rule-policy_ipsec_2] quit

# 开启LocalUntrust安全区域的域间策略,保证隧道正常建立。

[NGFW-policy-security] rule name policy_ipsec_3 
[NGFW-policy-security-rule-policy_ipsec_3] source-zone local 
[NGFW-policy-security-rule-policy_ipsec_3] destination-zone untrust 
[NGFW-policy-security-rule-policy_ipsec_3] source-address 1.1.1.1 32  
[NGFW-policy-security-rule-policy_ipsec_3] destination-address 20.2.2.3 32  
[NGFW-policy-security-rule-policy_ipsec_3] action permit 
[NGFW-policy-security-rule-policy_ipsec_3] quit 
[NGFW-policy-security] rule name policy_ipsec_4 
[NGFW-policy-security-rule-policy_ipsec_4] source-zone untrust 
[NGFW-policy-security-rule-policy_ipsec_4] destination-zone local 
[NGFW-policy-security-rule-policy_ipsec_4] source-address 20.2.2.3 32  
[NGFW-policy-security-rule-policy_ipsec_4] destination-address 1.1.1.1 32  
[NGFW-policy-security-rule-policy_ipsec_4] action permit 
[NGFW-policy-security-rule-policy_ipsec_4] quit 
[NGFW-policy-security] quit

3.         配置RADIUS服务器模板,认证模板和域。

a.         定义RADIUS服务器模板,共享密钥和服务器地址和端口。地址为RADIUS服务器的地址,缺省的认证端口是UDP 1812

[NGFW] radius-server template aaa 
[NGFW-radius-aaa] radius-server shared-key Test!123 
[NGFW-radius-aaa] radius-server authentication 10.3.1.5 1812 
[NGFW-radius-aaa] quit

20170313103917712068.jpg

模板中配置的共享密钥、服务器地址和端口请与RADIUS服务器上的配置保持一致。

b.         创建认证模板,定义名称为eap

[NGFW] aaa 
[NGFW-aaa] authentication-scheme eap 
[NGFW-aaa-authen-eap] authentication-mode radius 
[NGFW-aaa-authen-eap] quit 

c.         创建AP用户所属域并定义域参数,定义域名为abcd.org,此参数由AP中的SIM卡存储,配置前请向相关人员获取正确的domain名称,一般格式类似于:abcd.mnc001.mcc460.3gppnetwork.org,域中的地址池用于为AP分配地址。

20170313103917742069.jpg

地址池中的地址不能和AP需要访问的总部服务器地址在同一网段。为使AP能够正常访问总部,需要在总部服务器上配置一条到达地址池网段的路由,下一跳为10.3.0.1

[NGFW-aaa] domain abcd.org 
[NGFW-aaa-domain-abcd.org] authentication-scheme eap 
[NGFW-aaa-domain-abcd.org] radius-server aaa 
[NGFW-aaa-domain-abcd.org] ip pool 0 10.6.1.1 10.6.1.254 
[NGFW-aaa-domain-abcd.org] quit 
[NGFW-aaa] quit

4.         配置IPSec

a.         定义保护的数据流。ACL中定义的目的地址就是abcd.org域中定义的地址池中的地址。目的是允许AP用户访问内网服务器。

[NGFW] acl 3003 
[NGFW-acl-adv-3003] rule permit ip destination 10.6.1.0 0.0.0.255 
[NGFW-acl-adv-3003] quit

b.         定义IPSec安全提议,参数都使用缺省值。

[NGFW] ipsec proposal ap 
[NGFW-ipsec-proposal-ap] quit

c.         定义IKE安全提议,参数都使用缺省值。

[NGFW] ike proposal 1 
[NGFW-ike-proposal-1] quit

d.         配置IKE Peer。使用IKEv2版本,支持EAP认证。

[NGFW] ike peer ap 
[NGFW-ike-peer-ap] ike-proposal 1 
[NGFW-ike-peer-ap] pre-shared-key Test!123 
[NGFW-ike-peer-ap] remote-address ip-pool 0  
[NGFW-ike-peer-ap] undo version 1 
[NGFW-ike-peer-ap] quit

e.         配置IKE DPDDPD模式为on-demand,消息发送频率10s。确保隧道的连通。

[NGFW] ike dpd on-demand 10

f.          配置IPSec策略模板。

[NGFW] ipsec policy-template ap 1 
[NGFW-ipsec-policy-templet-ap-1] security acl 3003 
[NGFW-ipsec-policy-templet-ap-1] ike-peer ap 
[NGFW-ipsec-policy-templet-ap-1] proposal ap 
[NGFW-ipsec-policy-templet-ap-1] quit

g.         配置IPSec策略。

[NGFW] ipsec policy app 1 isakmp template ap

h.         在接口上应用IPSec策略。

[NGFW] interface GigabitEthernet 1/0/1 
[NGFW-GigabitEthernet1/0/1] ipsec policy app 
[NGFW-GigabitEthernet1/0/1] quit

                                步骤 2      配置AP

AP的配置请参见相应的手册。此举例中,是以其IPSec的缺省配置和NGFWIPSec缺省配置相一致的AP设备为例说明的,如果有不一致的情况,请保持AP设备和NGFW上的IPSec配置相匹配。

----结束

结果验证

1.         AP用户对Server进行访问,访问成功。且在AP上查看自己的IP地址,发现获得了位于10.6.1.1/2410.6.1.254/24网段的IP地址。

2.         NGFW上执行display ike sa查看IKE安全联盟的建立情况。

<NGFW> display ike sa 
current ike sa number: 2 
--------------------------------------------------------------------- 
conn-id        peer                   flag       phase   vpn 
--------------------------------------------------------------------- 
112            20.2.2.3               RD         v2:2    public 
111            20.2.2.3               RD         v2:1    public 
 
  flag meaning                                                                   
  RD--READY      ST--STAYALIVE     RL--REPLACED    FD--FADING    TO--TIMEOUT     
  TD--DELETING   NEG--NEGOTIATING  D--DPD          M--ACTIVE     S--STANDBY      
  A--ALONE  

3.         NGFW上执行display ipsec sa,查看IPSec安全联盟。

<NGFW> display ipsec sa 
 
=============================== 
Interface: GigabitEthernet1/0/1 
    path MTU: 1500 
=============================== 
 
  ----------------------------- 
  IPsec policy name: "app" 
  sequence number: 1 
  mode: template 
  vpn: 0 
  ----------------------------- 
    connection id: 41746 
    rule number: 5 
    encapsulation mode: tunnel 
    tunnel local : 1.1.1.1    tunnel remote: 20.2.2.3 
    flow      source: 0.0.0.0-255.255.255.255 0-65535 0 
    flow destination: 10.6.1.10-10.6.1.10 0-65535 0 
 
    [inbound ESP SAs] 
      spi: 3482732912 (0xcf964970) 
      vpn: public      said: 3434  cpuid: 0x6003 
      proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA2-256 
      sa remaining key duration (bytes/sec): 8192000/3600 
      max received sequence-number: 1 
      udp encapsulation used for nat traversal: N 
 
    [outbound ESP SAs] 
      spi: 1969821731 (0x75691823) 
      vpn: public      said: 3435  cpuid: 0x6003 
      proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA2-256 
      sa remaining key duration (bytes/sec): 3952910/3600 
      max sent sequence-number: 1 
      udp encapsulation used for nat traversal: N 



附录1 使用VPN Client接入

配置步骤

                                步骤 1      移动办公用户在安装了Secoway VPN Client软件的便携机上运行此软件。

20170313103820871002.png

                                步骤 2      选中已有连接,单击“属性”。

20170313103821033003.jpg

此操作要在VPN Client断开拨号的条件下执行。

如果没有连接存在,请单击“新建”,根据向导建立新的连接。

20170313103822177004.png

                                步骤 3      在“基本设置”页面参考下图参数设置基本信息,LNS服务器地址为1.1.1.1,即总部网关用于建立VPN隧道的接口的IP地址,登录用户名为vpdnuser,登录密码为Hello@123。启用IPSec安全协议,选择“预共享密钥认证”,身份验证字为Admin@123

20170313103823501005.png

                                步骤 4      在“L2TP设置”页面参考下图参数设置L2TP属性。

20170313103824195006.png

                                步骤 5      在“IPSec设置”页面参考下图参数设置IPSec基本信息。

20170313103825895007.png

                                步骤 6      在“IKE设置”页面参考下图参数设置IKE基本信息,配置完成后单击“确定”。

20170313103826774008.png

                                步骤 7      选中“我的连接”,单击“连接”,发起VPN隧道建立请求。

20170313103826726009.png

                                步骤 8      隧道建立成功后,移动办公用户成功接入企业内网,VPN的连接状态显示为“已连接”。

20170313103827863010.png

----结束


附录2 使用Windows 10接入

配置步骤

                                步骤 1      移动办公用户在搭载Windows 10操作系统的便携机上打开“控制面板”。

20170313103828769011.png

                                步骤 2      选择“网络和Internet”,打开“网络和共享中心”。

20170313103829657012.png

                                步骤 3      选择“设置新的连接或网络”,创建一个新的网络连接。

20170313103830322013.png

                                步骤 4      选择“连接到工作区”,单击“下一步”。

20170313103831243014.png

                                步骤 5      选择“使用我的Internet连接(VPN)”,通过Internet使用VPN连接企业内网。

20170313103831180015.png

                                步骤 6      输入Inetrnet地址,即总部网关用于建立VPN隧道的接口的IP地址,输入连接的名称,单击“创建”。

20170313103832683016.png

                                步骤 7      在“网络和共享中心”单击“更改适配器设置”,选中新建的连接后单击右键,选择“属性”。

20170313103833768017.png

                                步骤 8      选择“安全”页签,参考下图中的参数进行配置,预共享密钥为Admin@123,配置完成后单击“确定”。

20170313103834269018.png

                                步骤 9      选中配置好的连接,单击“启动此连接”,进入VPN设置界面。选中创建的VPN连接后单击“连接”。

20170313103835402019.png

                            步骤 10      输入登录名vpdnuser,密码Hello@123,单击“确定”。

20170313103836433020.png

                            步骤 11      隧道建立成功后,移动办公用户成功接入企业内网,VPN的连接状态显示为“已连接”。

20170313103837036021.png

----结束


附录3 使用Windows 7接入

配置步骤

                                步骤 1      移动办公用户在搭载Windows 7操作系统的便携机上打开“控制面板”。

20170313103837061022.png

                                步骤 2      选择“网络和共享中心”。

20170313103838886023.png

                                步骤 3      选择“设置新的连接或网络”,创建VPN连接。

20170313103839377024.png

                                步骤 4      选择“连接到工作区”,单击“下一步”。

20170313103840282025.png

                                步骤 5      选择“使用我的Internet连接(VPN)”,通过Inetrnet使用VPN连接企业内网。

20170313103841484026.png

                                步骤 6      输入Inetrnet地址,即总部网关用于建立VPN隧道的接口的IP地址,输入连接的名称,单击“下一步”。

20170313103842894027.png

                                步骤 7      输入用户名vpdnuser,密码Hello@123,单击“创建”。

20170313103843846028.png

                                步骤 8      单击“立即连接”。

20170313103843975029.png

                                步骤 9      单击系统通知栏中的网络按钮,选中新建的连接后单击右键,选择“属性”。

20170313103844467030.png

                            步骤 10      选择“安全”页签,参考下图中的参数进行配置,预共享密钥为Admin@123,配置完成后单击“确定”。

20170313103845593031.png

                            步骤 11      输入用户名及密码,单击“连接”。

20170313103846726032.png

                            步骤 12      隧道建立成功后,移动办公用户成功接入企业内网,VPN的连接状态显示为“已连接”。

20170313103847031033.png

----结束


附录4 使用Windows XP接入

配置步骤

                                步骤 1      移动办公用户在搭载Windows XP操作系统的便携机上打开“控制面板”。

20170313103848137034.png

                                步骤 2      选择“网络和Internet连接”,选择“网络连接”。

20170313103849756035.png

                                步骤 3      选择“创建一个新的连接”,进入“新建连接向导”,单击“下一步”。

20170313103849685036.png

                                步骤 4      选择“连接到我的工作场所的网络”,单击“下一步”。

20170313103850600037.png

                                步骤 5      选择“虚拟专用网路连接”,通过Internet使用VPN连接企业内网,单击“下一步”。

20170313103851392038.png

                                步骤 6      输入新建连接的名称,单击“下一步”。

20170313103852179039.png

                                步骤 7      输入主机名或IP地址,即总部网关用于建立VPN隧道的接口的IP地址,单击“下一步”。

20170313103853294040.png

                                步骤 8      单击“完成”,创建连接并关闭向导。

20170313103854806041.png

                                步骤 9      在弹出的登陆界面上单击“属性”。

20170313103854909042.png

                            步骤 10      选择“安全”页签,参考下图中的参数进行配置,预共享密钥为Admin@123,配置完成后单击“确定”。

20170313103855301043.png

                            步骤 11      输入登录名vpdnuser,密码Hello@123,单击“连接”。

20170313103856350044.png

                            步骤 12      隧道建立成功后,移动办公用户成功接入企业内网,VPN的连接状态显示为“已连接上”。

20170313103857620045.png

----结束


附录5 使用Mac OS X10接入

配置步骤

                                步骤 1      移动办公用户在搭载Mac OS X10操作系统的便携机上打开“系统偏好设置”界面。

20170313103858722046.png

                                步骤 2      单击“网络”,打开网络设置界面。

20170313103859682047.png

                                步骤 3      单击界面左下角的“+”号,新建一个网络连接。

20170313103900883048.png

                                步骤 4      “接口”选择“VPN”,“VPN类型”选择“IPSec上的L2TP”,“服务名称”可任意创建,本例中为“l2tp over ipsec,设置完成后,单击“创建”。

20170313103900561049.png

                                步骤 5      选中左边项目栏中新建的连接,输入服务器地址,即总部网关用于建立VPN隧道的接口的IP地址,入账户名称vpdnuser

20170313103901427050.png

                                步骤 6      单击“鉴定设置”,选择“用户鉴定 > 密码”,填写用户名“vpdnuser”对应的认证密码,本例中为“Hello@123”。选择“机器鉴定 > 共享的密钥”,填写隧道的预共享密钥,本例中为“Admin@123”。设置完成后单击“好”。

20170313103902036051.png

                                步骤 7      单击“高级”,在“选项”页签中,勾选“会话选项”项目下的三个选项,设置完成后单击“好”。

20170313103903492052.png

                                步骤 8      单击“应用”,保存配置。单击“连接”,开始建立VPN隧道。

20170313103904964053.png

                                步骤 9      隧道建立成功后,移动办公用户成功接入企业内网,VPN的连接状态显示为“已连接”。

20170313103905610054.png

----结束


附录6 使用iPhone手机(iOS 10.0)接入

配置步骤

                                步骤 1      移动办公用户在搭载iOS 10.0操作系统的智能手机上点击“设置”图标,进入系统设置界面。

20170313103906828055.png

                                步骤 2      在系统设置界面点击“VPN”,进入VPN设置界面

20170313103907573056.png

                                步骤 3      点击“添加VPN配置”,创建VPN连接。

20170313103907156057.png

                                步骤 4      参考下图参数配置VPN网络,账户设置为vpdnuser,密码设置为Hello@123,密钥设置为Admin@123,配置完成后点击“完成”。

20170313103908145058.png

                                步骤 5      选中新建的VPN连接,打开“状态”后面的连接开关,发起VPN隧道建立请求。

20170313103909214059.png

                                步骤 6      隧道建立成功后,移动办公用户成功接入企业内网,VPN的连接状态显示为“已连接”。

20170313103910578060.png

----结束


附录7 使用Android手机(Android 6.0)接入

配置步骤

                                步骤 1      移动办公用户在搭载Android 6.0操作系统的智能手机上进入系统设置界面。

20170313103911727061.png

                                步骤 2      进入“无线和网络”界面,点击“VPN”,进入VPN设置界面。

20170313103912558062.png

                                步骤 3      点击“添加VPN网络”,创建VPN连接。

20170313103912388063.png

                                步骤 4      参考下图参数配置VPN网络,IPSec预共享密钥为Admin@123,配置完成后点击“保存”。

20170313103913656064.png

                                步骤 5      选中新建的VPN连接,输入用户名vpdnuser,密码Hello@123,点击“连接”。

20170313103914753065.png

                                步骤 6      隧道建立成功后,移动办公用户成功接入企业内网,VPN的连接状态显示为“已连接”。

20170313103915017066.png

----结束


欢迎  进入
汇总贴】
浏览更多精彩内容!


本帖最后由 强叔侃墙 于 2017-03-13 11:21 编辑
  • x
  • 常规:

点评 回复

跳转到指定楼层
员Lemon
员Lemon  专家 发表于 2017-3-13 10:50:10 已赞(0) 赞(0)

多谢楼主分享~
  • x
  • 常规:

点评 回复

团团草
团团草  版主 发表于 2017-3-13 16:04:32 已赞(0) 赞(0)

这些图感觉都好难找环境啊,截得这么到位,不愧是强叔。
  • x
  • 常规:

点评 回复

木艮
木艮   发表于 2017-4-1 16:31:18 已赞(0) 赞(0)

本机标准用户,没有管理员权限。无法使用Client。SSl VPN Client和L2TP Over IPSec都配置了,也都试了。领导不想用windows的VPN,要求使用Client。也测试过Shrew Soft VPN Client这个认证方式不匹配。求助解决方案。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

庄  余
庄 余   发表于 2017-4-3 14:21:51 已赞(0) 赞(0)

安卓6.0的手机,好像不支持L2TP的吧?我这边就不行啊
  • x
  • 常规:

点评 回复

月影老鬼2
月影老鬼2   发表于 2017-6-13 23:05:08 已赞(0) 赞(0)

牛,还是没有懂
  • x
  • 常规:

点评 回复

jianghao001
jianghao001  新锐 发表于 2017-6-26 10:08:20 已赞(0) 赞(0)

多谢楼主分享~
  • x
  • 常规:

点评 回复

Robin123
Robin123  精英 发表于 2017-8-25 11:08:10 已赞(0) 赞(0)

给力!想收藏好像没收藏按钮、。。
  • x
  • 常规:

点评 回复

Robin123
Robin123  精英 发表于 2017-8-25 11:09:10 已赞(0) 赞(0)

找到收藏按钮了【终端接入篇】使用常见移动终端远程接入企业内网-2411905-1
  • x
  • 常规:

点评 回复

pc3000
pc3000   发表于 2019-5-26 10:18:17 已赞(0) 赞(0)

没有下载的吗?好想下载收藏
  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录