前言:由于没有足够的实验环境,此篇文章译自Kerio Winroute Firewall使用帮助中的Configuration of the VPN tunnel — Example。此篇文章介绍了一个较为复杂的VPN配置环境,关于基本的VPN配置,可以参见Kerio WinRoute Firewall — Step By Step Configuration一文。
本次实验的网络拓朴结构如下图所示,公司总部在New york,在Chicago有个分公司,我们想通过使用Kerio Site-to-Site VPN来连接Chicago的本地网络到公司总部的网络中。
· IP地址配置:公司总部的默认网关IP是63.55.21.12(DNS名字为newyork.company.com),Chicago的服务器采用DHCP获取IP地址。
· 网络结构:公司总部的本地网络有两个子网,LAN 1和LAN 2。公司总部的网络使用company.com后缀的DNS域名。分公司的本地网络只有一个子网,使用filial.company.com域名。
我们需要对网络之间的流量进行限制,以实现以下目的:
· VPN客户可以连接到LAN 1和分公司的网络;
· 在所有网络中禁止到VPN客户的连接;
· 分公司的网络只能访问LAN 1的WWW、FTP和Microsoft SQL services服务。
· 对于公司总部网络到分公司的网络,没有任何限制。
· LAN 2对分公司网络和VPN客户都不可见。
一、公司总部设置:
1、在公司总部默认网关上安装KWF。
2、在首次运行KWF控制台时出现的Network Rules Wizard中,选择"Yes, I want to use Kerio VPN"。
选择这个选项后,KWF会自动为VPN客户建立相应的Traffic policy , 如下图
当VPN隧道建立好后,我们会在后面对它进行一些调整以迎合网络限制的需求,具体可以参加步骤6。
3、自定义DNS配置
(1)在KWF的DNS转发器配置中,指定非company.com域的DNS名字转发到的DNS服务器地址,这个也可以设置为从TCP/IP配置自动获取;
(2)启用Use custom forwarding选项,然后定义filial.company.com域的域名解析转发。注意,DNS服务器的IP地址要设置为远程DNS服务器的IP地址。
(3)设置此接口的IP地址(10.1.1.1)作为KWF连接到本地网络的接口的主DNS服务器。
(4)对于其他计算机,设置KWF内部接口的IP地址10.1.1.1作为它们的DNS服务器。
4、启用VPN服务器,配置它的SSL证书。注意,VPN服务器会随机选择一个没有使用的网络作为VPN网络。
5、建立一个被动端的VPN隧道(分公司的KWF作为主动端)。在Remote endpoint's SSL certificatefingerprint:下输入分公司的KWF VPN服务器SSL证书的Fingerprint。
6、自定义Traffic policy以迎合网络限制的要求,定义好的Traffic policy如下:
二、分公司设置:
1、在分公司默认网关上安装KWF。
2、在首次运行KWF控制台时出现的Network Rules Wizard中,选择"Yes, I want to use Kerio VPN"。
选择这个选项后,KWF会自动为VPN客户建立相应的Traffic policy , 如下图
当VPN隧道建立好后,我们会在后面对它进行一些调整以迎合网络限制的需求,具体设置参见步骤6。
3、自定义DNS配置:
(1)在KWF的DNS转发器设置中,指定非company.com域域名解析所转发到的DNS服务器。
(2)启用Use custom forwarding选项,然后定义company.com域的域名解析转发。注意,DNS服务器的IP地址要设置为远程DNS服务器的IP地址。
(3)设置此接口的IP地址(192.168.1.1))作为KWF连接到本地网络的接口的主DNS服务器。
(4)对于其他计算机,设置KWF内部接口的IP地址192.168.1.1作为它们的DNS服务器。
4、启用VPN服务器,配置它的SSL证书。注意,VPN服务器会随机选择一个没有使用的网络作为VPN网络。
5、建立一个主动端的VPN隧道,连接到公司总部的KWF VPN server(neryork.company.com)。在Remote endpoint's SSL certificatefingerprint:下输入公司总部的KWF VPN服务器SSL证书的Fingerprint,可以点击"Detect remote certificate..."来获取。
此时,可以建立VPN隧道了。如果连接成功,连接状态信息将会在隧道两端的适配器信息栏中显示出来。如果连接没能成功建立,我们推荐你检查Traffic policy的配置和远程服务器是否存在。在此例中,我们可以在分公司的服务器上运行ping newyork.company.com来检查。注意:用ping检查连接性的时候,注意检查Traffic policy是否允许ICMP或者ping。
如果VPN隧道的两段存在有冲突的子网,重新选择一个没有冲突的子网,然后再进行连接。
6、在Traffic policy的Local Traffic规则中添加上面建立好的VPN隧道,可以把Dial-In接口和VPN clients去掉,因为VPN用户不允许连接到分分公司的网络中。
在这儿没有必要再做更多的限制,因为在公司总部的KWF Traffic policy中已经做了相应的限制。
三、测试VPN
在建立好VPN隧道之后,建议在隧道的两端都进行连接的测试。
例如,可以使用ping或者tracert命令来执行测试,建立使用远程主机的IP和DNS名字来进行测试。
如果通过IP来测试远程主机而它没有响应,则检查Traffic policy的配置和子网是否有冲突(不管隧道的两端是否使用了相同的子网)。
如果使用IP测试成功,而使用DNS名字测试时报告Unknown host,则检查你的DNS配置。
本次实验的网络拓朴结构如下图所示,公司总部在New york,在Chicago有个分公司,我们想通过使用Kerio Site-to-Site VPN来连接Chicago的本地网络到公司总部的网络中。
· IP地址配置:公司总部的默认网关IP是63.55.21.12(DNS名字为newyork.company.com),Chicago的服务器采用DHCP获取IP地址。
· 网络结构:公司总部的本地网络有两个子网,LAN 1和LAN 2。公司总部的网络使用company.com后缀的DNS域名。分公司的本地网络只有一个子网,使用filial.company.com域名。
我们需要对网络之间的流量进行限制,以实现以下目的:
· VPN客户可以连接到LAN 1和分公司的网络;
· 在所有网络中禁止到VPN客户的连接;
· 分公司的网络只能访问LAN 1的WWW、FTP和Microsoft SQL services服务。
· 对于公司总部网络到分公司的网络,没有任何限制。
· LAN 2对分公司网络和VPN客户都不可见。
一、公司总部设置:
1、在公司总部默认网关上安装KWF。
2、在首次运行KWF控制台时出现的Network Rules Wizard中,选择"Yes, I want to use Kerio VPN"。
选择这个选项后,KWF会自动为VPN客户建立相应的Traffic policy , 如下图
当VPN隧道建立好后,我们会在后面对它进行一些调整以迎合网络限制的需求,具体可以参加步骤6。
3、自定义DNS配置
(1)在KWF的DNS转发器配置中,指定非company.com域的DNS名字转发到的DNS服务器地址,这个也可以设置为从TCP/IP配置自动获取;
(2)启用Use custom forwarding选项,然后定义filial.company.com域的域名解析转发。注意,DNS服务器的IP地址要设置为远程DNS服务器的IP地址。
(3)设置此接口的IP地址(10.1.1.1)作为KWF连接到本地网络的接口的主DNS服务器。
(4)对于其他计算机,设置KWF内部接口的IP地址10.1.1.1作为它们的DNS服务器。
4、启用VPN服务器,配置它的SSL证书。注意,VPN服务器会随机选择一个没有使用的网络作为VPN网络。
5、建立一个被动端的VPN隧道(分公司的KWF作为主动端)。在Remote endpoint's SSL certificatefingerprint:下输入分公司的KWF VPN服务器SSL证书的Fingerprint。
6、自定义Traffic policy以迎合网络限制的要求,定义好的Traffic policy如下:
二、分公司设置:
1、在分公司默认网关上安装KWF。
2、在首次运行KWF控制台时出现的Network Rules Wizard中,选择"Yes, I want to use Kerio VPN"。
选择这个选项后,KWF会自动为VPN客户建立相应的Traffic policy , 如下图
当VPN隧道建立好后,我们会在后面对它进行一些调整以迎合网络限制的需求,具体设置参见步骤6。
3、自定义DNS配置:
(1)在KWF的DNS转发器设置中,指定非company.com域域名解析所转发到的DNS服务器。
(2)启用Use custom forwarding选项,然后定义company.com域的域名解析转发。注意,DNS服务器的IP地址要设置为远程DNS服务器的IP地址。
(3)设置此接口的IP地址(192.168.1.1))作为KWF连接到本地网络的接口的主DNS服务器。
(4)对于其他计算机,设置KWF内部接口的IP地址192.168.1.1作为它们的DNS服务器。
4、启用VPN服务器,配置它的SSL证书。注意,VPN服务器会随机选择一个没有使用的网络作为VPN网络。
5、建立一个主动端的VPN隧道,连接到公司总部的KWF VPN server(neryork.company.com)。在Remote endpoint's SSL certificatefingerprint:下输入公司总部的KWF VPN服务器SSL证书的Fingerprint,可以点击"Detect remote certificate..."来获取。
此时,可以建立VPN隧道了。如果连接成功,连接状态信息将会在隧道两端的适配器信息栏中显示出来。如果连接没能成功建立,我们推荐你检查Traffic policy的配置和远程服务器是否存在。在此例中,我们可以在分公司的服务器上运行ping newyork.company.com来检查。注意:用ping检查连接性的时候,注意检查Traffic policy是否允许ICMP或者ping。
如果VPN隧道的两段存在有冲突的子网,重新选择一个没有冲突的子网,然后再进行连接。
6、在Traffic policy的Local Traffic规则中添加上面建立好的VPN隧道,可以把Dial-In接口和VPN clients去掉,因为VPN用户不允许连接到分分公司的网络中。
在这儿没有必要再做更多的限制,因为在公司总部的KWF Traffic policy中已经做了相应的限制。
三、测试VPN
在建立好VPN隧道之后,建议在隧道的两端都进行连接的测试。
例如,可以使用ping或者tracert命令来执行测试,建立使用远程主机的IP和DNS名字来进行测试。
如果通过IP来测试远程主机而它没有响应,则检查Traffic policy的配置和子网是否有冲突(不管隧道的两端是否使用了相同的子网)。
如果使用IP测试成功,而使用DNS名字测试时报告Unknown host,则检查你的DNS配置。
回复Comments
{commenttime}{commentauthor}
{CommentUrl}
{commentcontent}