HillstoneStoneOSVPN与非Windows系统互联配置手册.doc

StoneOS VPN与非Windows系统互联配置手册Hillstone山石网科更新记录作者版本更新内容更新日期高杰V1.0初始2010-11-26高杰V1.1根据意见反馈增加拓扑IP地址描述。2010-11-28目录更新记录2目录1StoneOS VPN与非Windows系统的配置手册11.Introduction12.Limitations13.支持列表24.测试组网拓扑25.防火墙和终端配置35.1防火墙 l2tp over ipsec + AD配置（针对于iOS，Andriod和Mac os）35.2终端配置（iOS，Andriod和Mac os）45.2.1IPhone/IPad配置45.2.2Andriod配置55.2.3Mac os配置75.3防火墙 IPsec配置（针对于Centos 4.1）95.4Centos 4.1配置106.特殊案例14StoneOS VPN与非Windows系统的配置手册1. Introduction本文档用于记录StoneOS与移动设备（非Windows）的VPN支持的情况，从目前的业界发展来看，随着IPAD等移动设备的越来越普及，针对目前常用的移动操作系统和主流的非Windows系统我们做了摸底测试，列表中列出了我们支持那些移动设备和操作系统，以及对应的版本和配置，方便前端使用。我们的设备支持IPSEC/SCVPN/L2TP三种VPN，本次摸底，测试了L2TP和L2TP OVER IPSEC的支持情况。2. Limitations防火墙版本支持信息：支持4.0R5（release预计2010.11.29发布）4.5R2（release预计2011.2.30发布）不支持4.0R4及其P版本4.5R13. 支持列表终端WIFIGPRS/3G备注L2tpL2tp over ipsecL2TPL2tp over ipsecIphone/Ipad(版本：3.0)客户端不支持支持未测试未测试Ios不支持单独的l2tp隧道；ios提供的VPN（kerberos）我们防火墙不支持Android（版本：2.2.1和2.1.1）支持支持未测试支持MAC os（版本：10.5.6 Leopard）客户端不支持支持未测试未测试MAC os不支持单独的l2tp隧道Centos 4.1（内核：Linux bogon 2.6.9-89.31.1.EL）支持IPsec未测试未测试暂不考虑linux中其他协议的开源软件4. 测试组网拓扑5. 防火墙和终端配置123455.1 防火墙 l2tp over ipsec + AD配置（针对于iOS，Andriod和Mac os）aaa-server VPN2mobile type active-directory host base-dn ou=user, dc=hillstone, dc=net login-dn cn=test, ou=user, dc=hillstone, dc=net login-password BImY0wG8JsNDj4QoVIyv1WuLRWcraaa-server local type local user test exitzone VPN2mobileisakmp peer VPN2mobile type usergroup isakmp-proposal psk-sha-3des-g2 pre-share U8FdHNEEBz6sNn5Mvqx3yWuLRWce aaa-server local accept-all-peer-id interface ethernet0/0 nat-traversalexittunnel ipsec VPN2mobile auto mode transport isakmp-peer VPN2mobile ipsec-proposal esp-sha-3des-g0 accept-all-proxy-idl2tp pool VPN2mobile address 54exittunnel l2tp VPN2mobile pool VPN2mobile dns 0 interface ethernet0/0 ppp-auth pap next-tunnel ipsec VPN2mobile aaa-server VPN2mobileinterface tunnel1 zone VPN2mobile ip address tunnel l2tp VPN2mobile注意：1.在isakmp peer里必须配置accept-all-peer-id，由于在使用usergroup时，客户端（mobile）无法配置id，所以此条命令的意思就是接受任何客户端发过来的ID，即不验证客户端的ID。2.如果要使用ad or ldap认证的话，必须在tunnel l2tp里配置ppp-auth pap，由于现在ad or ldap只支持pap认证，所以如果配置成ppp-auth any的话，防火墙会优先选择chap进行认证，导致无法跟ad or ldap认证。3.如果只使用l2tp建立隧道的话，把tunnel l2tp下的next-tunnel删掉4.如果使用local认证，那就把tunnel l2tp下的aaa-server VPN2mobile改成aaa-server local5.2 终端配置（iOS，Andriod和Mac os）5.2.1 IPhone/IPad配置 Step 1 step 2 step 3在协议类型上选择“L2TP”，在“描述”栏中填入“5ufl2tp（该项为必填项，可随便填），在服务器栏中填入“X.X.X.X”（ 该项为必填项，服务器是FW地址），在账户和密码栏中填入正确的用户名和密码（该项为必填项），在secret里填入ipsec预共享密钥（该项为必填项）,其他设置保持不变，然后点击“存储”。 Step 4 step 5 Step 6 step 75.2.2 Andriod配置如果测试l2tp就选择第二项，如果测试l2tp over ipsec就选择第三项1.vpn name随便填写2.set vpn server填写FW接口IP地址3.set ipsec pre-shared key填写isakmp的preshare-key4.enable l2tp secret不要勾选5保存 Step 1 step 2连接时提示输入用户名和密码，输入正确的用户名和密码即可 Step 35.2.3 Mac os配置Step 1 首先进入system preferences，选择networkStep 2 点击左下角的“ + ”，添加一个网络连接Step 3 interface选择VPNStep 4 VPN type选择l2tp over ipsecStep 5 点击configuration，选择add configurationStep 6 点击authentication settings，在password里填入l2tp的用户密码，在shared secret里填入preshare-key，填写完后点击OKStep 7 在server address上填入FW接口地址，在account name里填入l2tp用户名，填写完后点击applyStep 8 填写完成后点击connect5.3 防火墙 IPsec配置（针对于Centos 4.1）isakmp peer VPN2linux type usergroup isakmp-proposal psk-sha-3des-g2 pre-share U8FdHNEEBz6sNn5Mvqx3yWuLRWce aaa-server local accept-all-peer-id interface ethernet0/0 mode mainexittunnel ipsec VPN2linux auto mode transport isakmp-peer VPN2linux ipsec-proposal esp-sha-3des-g2 accept-all-proxy-id注意：1. 在isakmp peer里如果使用usergroup模式，那么必须使用main模式和配置accept-all-peer-id（跟建永确认过，现在的accept-all-peer-id不支持aggressive模式）。2. 对1的补充：在Linux下的ipsec-tools 0.7版本是支持带FQDN的，但是本人没有确认过。我测试的时候都是在Centos 4.1上默认的ipsec-tools (0.3版本)测试的，但是没有确认0.3版本是否支持FQDN，所以建议在测试的时候最好使用main模式。5.4 Centos 4.1配置Step 1 打开网络配置工具Step 2 选择IPsec选项卡，点击new，点击ForwardStep 3 填入nickname（记住后面有用）Step 4 选择host to host encryptionStep 5 选择automatic encryption mode selection via IKA (racoon)Step 6 在remote ip address里填入防火墙接口的IP地址Step 7 在authentication key里填入pre-share key修改配置文件：-racoon.con文件修改-rootbogon # cat /etc/racoon/racoon.conf# Racoon IKE daemon configuration file.# See man racoon.conf for a description of the format and entries.path include /etc/racoon ;path pre_shared_key /etc/racoon/psk.txt ;path certificate /etc/racoon/certs ;sainfo anonymous pfs_group 2; lifetime time 1 hour ; encryption_algorithm 3des ; authentication_algorithm hmac_sha1 ; compression_algorithm deflate ;include /etc/racoon/5.conf;-5.conf文件修改-rootbogon # cat /etc/racoon/5.confremote 5 exchange_mode main,aggressive;（此文件默认是aggressive ,main，也就是说优先使用野蛮模式认证，建议把main放在前面） my_identifier address; proposal encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2 ; -setkey.cof文件修改（需要先创建）-rootbogon # cat /etc/setkey.confflush;spdflush;spdadd 6/32 5/32 any -P out ipsec esp/transport/use;spdadd 5/32 6/32 any -P in ipsec esp/transport/use;flush和spdflush命令的意思是清楚sa和spi；6是centos机器IP，5是FW接口IP；spdadd 6/32 5/32 any -P out ipsec esp/transport/use；这句话的意思是从2.96到2.95的任何数据包用ipsec esp协议的透明模式进行加密和协商；配置完成后运行命令setkey f /