配置VPN

本节介绍如何配置这些VPN配置方案:

注意- VPN不能在纯IPv6下工作,只能在双IP栈下工作。

配置远程访问VPN

概述

使用以下这些选项进行远程访问:

  • Check Point VPN客户端

  • Check Point移动客户端

  • Check Point SSL VPN

  • L2TP VPN客户端

先决条件

  • VPN > 刀片控制中,确保:

    • 将远程访问控制设置为开启

    • 选择允许来自远程访问用户的流量(默认)选项。

    • 选择适用的连接方法。

    更多信息,请参阅配置远程访问刀片

  • 如果网关使用动态IP地址,我们建议你使用DDNS功能。参见配置DDNS和访问服务

  • 对于Check Point VPN客户端或移动客户端方法,确保适用的客户端安装在主机上。点击“如何连接”了解更多信息。

远程访问配置

支持以下远程访问用户验证方式:

  • 本地用户

  • RADIUS用户

  • AD用户

要想只允许指定的用户与远程访问客户端连接,可以为适合的用户类型设置组权限。选择"添加"选项旁边的箭头,并选择相关的组选项。参见配置远程访问用户

要配置新的本地用户:

  1. 转至VPN >远程访问用户

  2. 单击"添加 "以添加本地用户。

  3. 确保远程访问权限的复选框被选中。

更多信息,请参阅配置远程访问用户

要配置现有用户:

  1. 转至VPN >远程访问用户

  2. 点击"编辑",确保选中远程访问权限复选框。

更多信息,请参阅配置远程访问用户

要配置RADIUS用户:

  1. 转到VPN >身份验证服务器。

  2. 点击配置,添加一个RADIUS服务器。参见配置远程访问的身份验证服务器

  3. 点击RADIUS用户权限,设置访问权限。

要配置AD用户:

  1. 转到VPN >身份验证服务器,然后单击新建添加AD域。参见配置远程访问的身份验证服务器

  2. 点击活动目录用户的权限,设置访问权限。

L2TP VPN客户端配置

对于 L2TP VPN 客户端配置,在启用 L2TP VPN 客户端方法后,单击“L2TP 预共享密钥”,输入密钥。

高级选项

如需了解高级远程访问选项(例如办公模式网络)的更多信息,请参阅配置高级远程访问选项

监控

要确保远程访问正在工作:

使用配置的客户端从远程主机连接到一个内部资源。

使用预共享密文配置站点到站点的VPN

概述

在这种站点到站点的VPN配置方法中,使用预共享密钥进行认证。

先决条件

  • 确保站点到站点的VPN刀片被激活为开,并选择允许来自远程站点的流量(默认)。参见配置站点到站点的VPN刀片

  • 你所连接的对等设备必须已被配置并连接到网络。如果它是一个DAIP网关,其主机名必须是可解析的。

无效配置

输入一个主机名或IP地址,并输入预共享的密钥信息。更多信息,请参阅配置 VPN 站点

监控

为了确保VPN的工作:

  1. 在本地和对等网关之间发送流量。

  2. 转到VPN > VPN 隧道以监控隧道状态。参见查看VPN隧道

用证书配置站点到站点的VPN

概述

在这种站点到站点的VPN配置中,证书主要被用于认证。

先决条件

  • 确保站点到站点的VPN刀片被激活为开,并选择允许来自远程站点的流量(默认)。参见配置站点到站点的VPN刀片

  • 你所连接的对等设备必须已被配置并连接到网络。如果它是一个DAIP网关,其主机名必须是可解析的。

  • 你必须用你的IP地址或可解析的主机名重新初始化证书。确保双方都信任该证书。

  • VPN加密设置在双方之间(本地网关和对等网关)必须相同。当你使用自定义加密选项时,这一点尤其重要。

无效配置

  1. 重新初始化证书 - 使用重新初始化证书选项管理已安装的证书。确保在本地和对等网关上都这样做(如果它们都使用本地管理的Check Point设备)。

  2. 如需信任本地和对等网关上的CA – 可使用以下其中一种方法:

    • 在网关之间交换CA

    • 使用网关的CA签署一个请求。

    • 通过使用第三方CA进行认证。

    • 用现有的第三方证书进行认证。

  3. 使用证书认证创建VPN站点。

    1. 按照说明配置 VPN 站点

    2. 为了确保使用指定的证书,请在高级>证书匹配中输入对等网关的证书信息。

受信任的证书颁发机构

在网关之间交换CA:

单击添加以添加对等网关的受信任CA。这可以确保CA在本地和对等网关上都被上传。参见管理受信任CA

使用网关的CA签署一个请求:

你从网关创建一个请求,该请求必须由对等网关的CA签署:

  1. 使用新签名请求选项管理已安装的证书

  2. 使用 "导出"选项导出此请求。

  3. 使用对等网关的内部CA来签署对等网关上的请求。

    如果对等网关是本地管理的Check Point网关,请转到VPN >受信任CA并使用签署请求选项。

    更多信息,请参阅管理受信任CA

  4. 将请求的签名上传到本地网关。

    1. 转到VPN >已安装证书

    2. 选择远程设备已安装签名证书。

    3. 上传签名证书选项上传证书。

      参见管理已安装的证书

  5. 确保CA安装在两个网关上。使用添加选项管理受信任CA

通过使用第三方CA进行认证:

你从每个对等网关创建一个签署请求。按照上面使用网关的一个CA签署请求的步骤,用第三方CA签署。

请注意,第三方 CA 可以签发*.crt,*.p12, 或*.pfx 证书文件。

  1. 使用对应的上传选项上传证书。

    1. 转到VPN >已安装证书

    2. 选择远程设备已安装签名证书。

    3. 上传签名证书上传P12证书选项来上传证书。

      参见管理已安装的证书

  2. 确保第三方CA安装在两个网关上。

    使用添加选项管理受信任CA

要用现有的第三方证书进行认证:

  1. 为本地和对等网关创建一个P12证书。

  2. 使用每个网关上的上传P12证书选项上传P12证书。

  3. 确保第三方CA安装在两个网关上。

    使用添加选项管理受信任CA

监控VPN

为了确保VPN的工作:

  1. 在本地和对等网关之间传递流量。

  2. 转到VPN > VPN 隧道以监控隧道状态。

    参见查看VPN隧道