【高恪小知识】如何简易配置IPSec VPN（PC到总部）

高恪活动01 · 发表于 2017-11-23 10:02:52

【高恪小知识】如何简易配置IPSec VPN（PC到总部）

IPSec VPN基于PC到总部通信组网方式

IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务。

实例模拟拓扑图如图（1）所示。

图1

IPSec VPN有网对网模式与点对网模式之分，网对网模式主要应用在两端均为固定地址，两个内网通信的场景下组网，点对网模式主要应用在一端为固定地址一端为动态地址（AD），两个内网通信或外出员工访问的场景下组网。

IPSec VPN搭建需要根据现场真实情况填写，本次以上图（1）为例模拟该环境搭建。

第一步：IPSec隧道的建立

1、进入虚拟专网=》IPSec隧道，进入选择IPSec隧道选项卡，在该页面单击添加按钮进入新建IPSec隧道页面，如图（2）所示

图2

2、在打开的IPSec隧道建立页面上图（3）所示，填写IPSec隧道配置

图3

名称：B路由（两端名称可以不同）

远程隧道地址：对端为动态地址无需填写

模式：积极模式（积极模式可以多个VPN主机同时穿越NAT,此处两端需配置一样）

认证：预共享密钥（此处两端需配置一样）

预共享密钥：123456（此处两端需配置一样）

本地网络：192.168.1.0/24

远程网络：192.168.100.0/24

高级设置：此处勾选即可展开高级选项（默认此处不勾选，）

注意：

当两端设备若均为同一厂商设备，则无需调试高级设置参数选项

当两端设备若为不同一厂商设备，则需要高级加密选项调整一致

若客户未对加密方式有特殊要求，则无需使用高级设置参数选项

3、隧道建立完成可以看到建立的隧道规则基本信息，如图（4）所示，建立的规则可以修改并删除，

图4

第二步：启动IPSec监听端口

1、进入虚拟专网=》IPSec，进入IPSec监听接口设置页面，如图（5）所示，勾选“启用”选项，无特别要求，监听端口选择“所有接口”即可

图5

第三步：查看IPSec状态

IPSec（网端）本地规则建立完成在状态栏可以查看如图（6）所示，无数据通过隧道，隧道呈无连接状态，远端地址为anonymous

图6

第四步：出差员工PC端调试shrewsoft vpn client

1、启动shrewsoft vpn client，如果第二次使用该程序选择已经生成过的VPN记录单击connect按钮直接连接远端服务器即可，若是第一次使用需要点击Add按钮生成VPN信息记录，见图（7）

2、单击Add按钮启动添加选项卡，General选项：在输入你的VPN公网IP，Auto Configuration选择 ike config push，Adapler Mode选择Use a Virtual adapter and assigned address填写总部路由IPSec允许的地址段。

3、Client选项，使用默认值就可以了，见图（8）、图（9）

图8

4、NameResolution选项，可以去掉所有的勾，这个根据自己实际情况，一般公司可能不需要VPN用户使用公司DNS等，我这里是全部取消的，见图（10）、图（11）、图（12）。

5、Authentication选项，这个是最重要的。我路由器中配置的共享 IKE ID (IKE+XAuth)VPN，即一个Preshared Key加上xauth认证。请看仔细local Identity配置，Remote Identity，选择id type为Any，Credentials在最下面的PreShared Key输入前面自己设置的共享key（我配置的是123456），见图（13）、图（14）。

图13