配置VPN

本节介绍如何配置这些VPN配置方案:

注意--VPN不能在纯IPv6模式设置下工作,只能在双栈模式下工作。

配置远程访问VPN

简介

使用这些选项进行远程访问:

  • Check Point VPN客户端

  • Check Point移动客户端

  • Check Point SSL VPN

  • L2TP VPN客户端

先决条件

  • VPN > 刀片控制中,确保:

    • 要将远程访问控制设置为开

    • 要选择允许来自远程访问用户的流量(默认)选项。

    • 要选择适用的连接方法。

    更多信息,请参见配置远程访问刀片

  • 如果网关使用动态IP地址,我们建议你使用DDNS功能。见配置DDNS和访问服务

  • 对于Check Point VPN客户端或移动客户端方法,确保适用的客户端安装在主机上。点击如何连接了解更多信息。

远程访问配置

支持以下远程访问用户验证方式:

  • 本地用户

  • RADIUS用户

  • AD用户

要想只允许指定的用户与远程访问客户端连接,可以为适合的用户类型设置组权限。选择"添加"选项旁边的箭头,并选择相关的组选项。见配置远程访问用户

配置本地用户:

对于新用户:

  1. 转到VPN > 远程访问用户

  2. 单击"添加 "以添加本地用户。

  3. 确保远程访问权限的复选框被选中。

欲了解更多信息,请参见配置远程访问用户

对于现有用户:

  1. 转到VPN > 远程访问用户

  2. 点击"编辑",确保选中远程访问权限复选框。

欲了解更多信息,请参见配置远程访问用户

要配置RADIUS用户:

  1. 转到VPN > 认证服务器。

  2. 点击配置,添加一个RADIUS服务器。见配置远程访问认证服务器

  3. 点击RADIUS用户的权限,设置访问权限。

要配置AD用户:

  1. 进入VPN > Authentication Servers,点击New,添加一个AD域。见配置远程访问认证服务器

  2. 点击AD用户的权限,设置访问权限。

L2TP VPN客户端配置

对于 L2TP VPN 客户端配置,在启用 L2TP VPN 客户端方法后,单击L2TP 预共享密钥,输入密钥。

高级选项

关于高级远程访问选项的更多信息,例如办公室模式网络,请参见配置高级远程访问选项

监测

要确保远程访问正在工作:

使用配置的客户端从远程主机连接到一个内部资源。

使用预共享密文配置站点到站点的VPN

简介

在这种站点到站点的VPN关闭 两个或多个安全网关之间的加密隧道。同义词。站点到站点的VPN。收缩。S2S VPN, S-to-S VPN。配置方法中,使用预共享密钥进行认证。

先决条件

  • 确保站点到站点的VPN刀片被激活为开,并选择允许来自远程站点的流量(默认)。见配置站点到站点的VPN刀片

  • 你所连接的对等设备必须已被配置并连接到网络。如果它是一个DAIP网关,其主机名必须是可解析的。

配置

输入一个主机名或IP地址,并输入预共享的密钥信息。更多信息,请参见配置VPN站点

监测

为了确保VPN的工作:

  1. 在本地和对等网关之间发送流量。

  2. 进入VPN > VPN隧道,监控隧道状态。请参阅 "查看VPN隧道

用证书配置站点到站点的VPN

简介

在这种站点到站点的VPN配置中,证书主要被用于认证。

先决条件

  • 确保站点到站点的VPN刀片被激活为开,并选择允许来自远程站点的流量(默认)。见配置站点到站点的VPN刀片

  • 你所连接的对等设备必须已被配置并连接到网络。如果它是一个DAIP网关,其主机名必须是可解析的。

  • 你必须用你的IP地址或可解析的主机名重新初始化证书。确保双方都信任该证书。

  • VPN加密设置在双方之间(本地网关和对等网关)必须相同。当你使用自定义加密选项时,这一点尤其重要。

配置

  1. 重新初始化证书 - 使用管理已安装的证书中描述的重新初始化证书选项。确保在本地和对等网关上都这样做(如果它们都使用本地管理的Check Point设备)。

  2. 如需信任本地和对等网关上的CA – 可使用以下方法中的一个:

    • 在网关之间交换CA

    • 使用网关的CA签署一个请求。

    • 通过使用第三方CA进行认证。

    • 用现有的第三方证书进行认证。

  3. 使用证书认证来创建VPN 站点。

    1. 按照配置VPN站点中的说明进行操作。

    2. 为确保指定的证书被使用,请在高级 > 证书匹配中输入对等网关的证书信息。

受信任的证书颁发机构

在网关之间交换CA:

单击"添加 "以添加对等网关的受信任的CA。这可以确保CA在本地和对等网关上都被上传。见管理受信任的CA

使用网关的CA签署一个请求:

你从网关创建一个请求,该请求必须由对等网关的CA签署:

  1. 使用管理已安装的证书中的新签名请求选项。

  2. 使用 "导出"选项导出此请求。

  3. 使用对等网关的内部CA来签署对等网关上的请求。

    如果对等网关是本地管理的Check Point网关,请进入VPN > 受信任的CA,并使用签名请求选项。欲了解更多信息,请参见管理受信任的CA

  4. 将请求的签名上传到本地网关。

    1. 转到VPN > 安装的证书

    2. 选择远程设备已安装的签名证书。

    3. 上传签名证书选项上传证书。见管理已安装的证书

  5. 确保CA安装在两个网关上。使用管理受信任的CA中的添加选项。

通过使用第三方CA进行认证:

你从每个对等网关创建一个签署请求。按照上面的步骤使用网关的CA之一签署请求,用第三方CA签名。

请注意,第三方 CA 可以签发*.crt,*.p12, 或*.pfx 证书文件。

  1. 使用对应的上传选项上传证书。

    1. 转到VPN > 安装的证书

    2. 选择远程设备已安装的签名证书。

    3. 上传签名证书上传P12证书选项来上传证书。见管理已安装的证书

  2. 确保第三方CA安装在两个网关上。使用管理受信任的CA中的添加选项。

要用现有的第三方证书进行认证:

  1. 为本地和对等网关创建一个P12证书。

  2. 使用每个网关上的上传P12证书选项上传P12证书。

  3. 确保第三方CA安装在两个网关上。使用管理受信任的CA中的添加选项。

监测

为了确保VPN的工作:

  1. 在本地和对等网关之间传递流量。

  2. 进入VPN > VPN隧道,监控隧道状态。请参阅 "查看VPN隧道