配置VPN

本节介绍如何配置以下VPN配置方案:

注意- VPN不能在纯IPv6下工作,只能在双IP栈下工作。

配置远程访问VPN

简介

使用以下这些选项进行远程访问:

  • Check Point VPN客户端

  • Check Point移动客户端

  • Check Point SSL VPN

  • L2TP VPN客户端

先决条件

  • VPN > 刀片控制中,确保:

    • 将远程访问控制设置为“开启”。

    • 选择“允许来自远程访问用户的流量(默认)”选项。

    • 选择适用的连接方法。

    更多信息,请参见“配置远程访问刀片”部分。

  • 如果网关使用动态IP地址,我们建议你使用DDNS功能。具体操作请参见“配置DDNS和访问服务”部分。

  • 对于Check Point VPN客户端或移动客户端方法,确保适用的客户端安装在主机上。点击“如何连接”了解更多信息。

远程访问配置

支持以下远程访问用户验证方式:

  • 本地用户

  • RADIUS用户

  • AD用户

要想只允许指定的用户与远程访问客户端连接,可以为适合的用户类型设置关闭 一个对象的集合,如用户账户,具有共享属性。权限。选择"添加"选项旁边的箭头,并选择相关的组选项。详情请参见“配置远程访问用户”部分。

要配置新的本地用户:

  1. 转到VPN > 远程访问用户

  2. 单击"添加 "以添加本地用户。

  3. 确保远程访问权限的复选框被选中。

欲了解更多信息,请参见“配置远程访问用户”部分。

要配置现有用户:

  1. 转到VPN > 远程访问用户

  2. 点击"编辑",确保选中远程访问权限复选框。

欲了解更多信息,请参见“配置远程访问用户”部分。

要配置RADIUS用户:

  1. 转到VPN > 认证服务器。

  2. 点击“配置”,添加一个RADIUS服务器。详情请参见“配置远程访问认证服务器”部分。

  3. 点击“RADIUS用户的权限”,设置访问权限。

要配置AD用户:

  1. 进入VPN > 认证服务器,点击“新建”,添加一个AD域。详情请参见“配置远程访问认证服务器”部分。

  2. 点击“活动目录用户的权限”,设置访问权限。

L2TP VPN客户端配置

对于 L2TP VPN 客户端配置,在启用 L2TP VPN 客户端方法后,单击“L2TP 预共享密钥”,输入密钥。

高级选项

关于高级远程访问选项的更多信息,例如办公室模式网络,请参见“配置高级远程访问选项”部分。

监测

要确保远程访问正在工作:

使用配置的客户端从远程主机连接到一个内部资源。

使用预共享密文配置站点到站点的VPN

简介

在这种站点到站点的VPN关闭 两个或多个安全网关之间的加密隧道。同义词:站点到站点的VPN。缩写:S2S VPN, S-to-S VPN。配置方法中,使用预共享密钥进行认证。

先决条件

  • 确保站点到站点的VPN刀片被激活为开,并选择“允许来自远程站点的流量(默认)”。详情请参见“配置站点到站点的VPN刀片”部分。

  • 你所连接的对等设备必须已被配置并连接到网络。如果它是一个DAIP网关,其主机名必须是可解析的。

配置

输入一个主机名或IP地址,并输入预共享的密钥信息。更多信息,请参见“配置VPN站点”部分。

监测

为了确保VPN的工作:

  1. 在本地和对等网关之间发送流量。

  2. 进入VPN > VPN隧道,监控隧道状态。详情请参阅 "查看VPN隧道部分。

用证书配置站点到站点的VPN

简介

在这种站点到站点的VPN配置中,证书主要被用于认证。

先决条件

  • 确保站点到站点的VPN刀片被激活为开,并选择“允许来自远程站点的流量(默认)”。详情请参见“配置站点到站点的VPN刀片”部分。

  • 你所连接的对等设备必须已被配置并连接到网络。如果它是一个DAIP网关,其主机名必须是可解析的。

  • 你必须用你的IP地址或可解析的主机名重新初始化证书。确保双方都信任该证书。

  • VPN加密设置在双方之间(本地网关和对等网关)必须相同。当你使用自定义加密选项时,这一点尤其重要。

配置

  1. 重新初始化证书 - 使用管理已安装的证书中描述的重新初始化证书选项。确保在本地和对等网关上都这样做(如果它们都使用本地管理的Check Point设备)。

  2. 如需信任本地和对等网关上的CA – 可使用以下其中一种方法:

    • 在网关之间交换CA

    • 使用网关的CA签署一个请求。

    • 通过使用第三方CA进行认证。

    • 用现有的第三方证书进行认证。

  3. 使用证书认证来创建VPN 站点。

    1. 按照配置VPN站点中的说明进行操作。

    2. 为确保指定的证书被使用,请在高级 > 证书匹配中输入对等网关的证书信息。

受信任的证书颁发机构

在网关之间交换CA:

单击"添加 "以添加对等网关的受信任的CA。这可以确保CA在本地和对等网关上都被上传。详情请参见“管理受信任的CA”部分。

使用网关的CA签署一个请求:

你从网关创建一个请求,该请求必须由对等网关的CA签署:

  1. 使用管理已安装的证书中的新签名请求选项。

  2. 使用 "导出"选项导出此请求。

  3. 使用对等网关的内部CA来签署对等网关上的请求。

    如果对等网关是本地管理的Check Point网关,请进入VPN > 受信任的CA,并使用签名请求选项。

    欲了解更多信息,请参见“管理受信任的CA”部分。

  4. 将请求的签名上传到本地网关。

    1. 转到VPN > 安装的证书

    2. 选择远程设备已安装的签名证书。

    3. 用“上传签名证书”选项上传证书。

      详情请参见“管理已安装的证书”部分。

  5. 确保CA安装在两个网关上。使用管理受信任的CA中的“添加”选项。

通过使用第三方CA进行认证:

你从每个对等网关创建一个签署请求。按照上面“使用网关的一个CA签署请求”的步骤,用第三方CA签署。

请注意,第三方 CA 可以签发*.crt,*.p12, 或*.pfx 证书文件。

  1. 使用对应的上传选项上传证书。

    1. 转到VPN > 安装的证书

    2. 选择远程设备已安装的签名证书。

    3. 用“上传签名证书”或“上传P12证书”选项来上传证书。

      详情请参见“管理已安装的证书”部分。

  2. 确保第三方CA安装在两个网关上。

    使用管理受信任的CA中的“添加”选项。

要用现有的第三方证书进行认证:

  1. 为本地和对等网关创建一个P12证书。

  2. 使用每个网关上的上传P12证书选项上传P12证书。

  3. 确保第三方CA安装在两个网关上。

    使用管理受信任的CA中的“添加”选项。

监控VPN

为了确保VPN的工作:

  1. 在本地和对等网关之间传递流量。

  2. 进入VPN > VPN隧道,监控隧道状态。

    详情请参阅 "查看VPN隧道部分。