一、组网需求

        如图所示，某公司内部有一台OA服务器，在外移动办公的工作人员需要通过vpn,拨入到公司内网来对内网服OA服务器进行访问，采用证书认证的方式。

 

二、网络拓扑

      

      

 

三、配置要点

       1、基本上网配置（详细请参见”路由模式上网配置章节“）

       2、配置证书

       3、配置DHCP服务器

       4、配置VRC认证基本参数

       5、配置用户及其权限

       6、配置访问控制策略

       7、配置PC上的VRC客户端

四、配置步骤

步骤一、基本上网配置

1）接口加入到区域

            选择 资源管理 > 区域，然后点击“添加”，在弹出的窗口中设置eth0所属区域（area_eth0）。

区域配置如下：

2）开放网络侧接口eth0所在区域“area_eth0”的IPSec VPN服务。

选择 系统管理 > 配置，然后激活“开放服务”页签，点击“添加”开放区域area_eth0的IPSecVPN服务。

c.绑定虚接口。

选择 虚拟专网 > 虚接口绑定，点击“添加”，将虚接口与物理接口eth0绑定。

d.配置接口IP地址。

选择 网络管理 > 接口 > 物理接口，添加一个eth0和eth1接口的IP地址分别为100.1.1.2,192.168.0.1，如下图所示。

接口IP配置如下：

e.配置路由

选择 网络管理 > 路由，然后激活“路由表”页签，点击“添加”按钮，添加默认路由。

步骤二、配置证书

1）创建本地根证书。

a.选择 PKI设置 > 本地CA策略，激活“根证书”页签，点击“获取证书”链接，配置生成新根证书的信息。

生成的新证书如下：

b.导出根证书

点击“导出证书”按钮，选择导出格式为“DER”，点击【导出】按钮，点击界面显示的“证书点击下载”，将根证书导出到管理主机。

2）导入根证书到第三方CA证书

选择 PKI设置 > 第三方CA证书，点击页面右上方的“导入CA”，进入“导入CA证书”界面，导入根证书。

3）签发并下载用户证书

a.选择 PKI设置 > 本地CA策略，激活“签发证书”页签，点击“生成新证书”，为VRC用户“ipsec_client”生成一个新证书。

用户证书配置如下：

b.在证书列表界面，点击“test”用户证书条目右侧的“下载”图标，将客户端证书下载到本地，选择证书类型为“PKCS12格式”，输入密码。

c.参数设置完成后，点击【导出证书】按钮，如下图所示。

点击“证书点击下载”链接，弹出文件保存对话框，点击【保存】按钮，选择文件保存路径后，将证书文件保存到管理主机本地备用。

步骤三、配置DHCP服务器

1）配置DHCP地址池

选择 网络管理 > DHCP，激活“DHCP服务器”页签,点击“添加地址池”，配置DHCP地址池，用于为VRC用户分配虚拟IP。

说明

a.只有停止DHCP服务器的运行，才能够配置DHCP地址池。

b.DHCP地址池不能与内部网段有包含关系，更不能分配与内部网络在同一网段的地址池。

2）在lo接口启用DHCP服务器

在列表框中选择“lo”为运行接口，点击【启动】按钮，即可在lo接口上启用DHCP服务器。

步骤四、配置VRC认证的基本参数

选择 虚拟专网 > VRC管理，激活“基本设置”页签，配置VRC认证的基本参数。

步骤五、配置用户及其权限

1）配置本地用户“ipsec_client”。该用户名称必须与步骤二用户户证书中的VRC用户的用户证书名称保持一致。

a.选择 用户认证 > 用户管理，然后在树形目录中选择一个组（如iv_user），点击“添加用户”设置VRC用户，如下图所示。

在iv_user组中看到test用户：

b.点击用户ipsec_client条目右侧的操作按钮，进入用户认证策略修改界面，激活“认证策略”页签，不选择“使用全局认证设置”，选择“证书认证”和“口令认证”。

2）配置权限对象

a.选择 虚拟专网 > VRC管理，激活“权限对象”页签，点击权限对象列表左上方的“添加”，配置权限对象。

权限对象配置如下：

3）配置VRC用户“test”的用户权限

a.选择 虚拟专网 > VRC管理，激活“用户权限”页签，点击VRC用户“ipsec_client”右侧的“权限设置”图标，。

b.进入“ipsec_client”的用户权限显示界面，点击“添加”，配置VRC用户“ipsec_client”的用户权限，如下图所示。

ipsec_client用户的权限配置如下：

步骤六、配置访问控制策略

1）选择 资源管理 > 地址，然后选择“子网”页签，点击“添加”，添加子网地址资源。

激活“主机”页签，添加主机资源。

地址资源配置如下：

b.选择 防火墙 > 访问控制，点击“添加策略”按钮，配置访问控制策略。

访问控制规则配置如下：

步骤七、配置PC上的VRC客户端

配置PC上的VRC客户端，验证VRC用户“ipsec_client”使用“本地口令+证书认证”的认证方式登录IPSec VPN网关后，获得内网OA“192.168.0.10”的访问权限。

1）在远程VRC客户机器上安装VPN远程客户端。

2）打开VPN客户端，点击【新建连接】按钮，进入配置连接属性的窗口，输入连接名称“abc”，选择认证方式为“证书+口令认证”，选择“通过地址或域名登录”，点击【添加】按钮，添加一个地址为“100.1.1.2”，如下图所示。

3）点击【证书设置】，“加载方式”选择“本地证书文件”，“文件格式”选择“PKCS12证书文件”，通过选择正确的文件路径来导入证书文件，如下图所示。

4）点击【加载证书】按钮，弹出“输入密码”窗口，VRC用户可以在该窗口中输入导出证书时设置的密码。如果没有设置密码，直接点击【确定】按钮，弹出“导入证书成功”提示框。

5）界面中，输入用户“ipsec_client”登录的密码“123456”，然后点击【连接】按钮，VPN远程客户端与VPN网关成功建立VRC隧道。

 

五、检查配置结果

1）查看VPN客户端的“VPN客户端属性”窗口。

状态窗口显示隧道基本信息，以及配置VPN远程客户端的一些基本参数。

激活“访问权限”页签，可以查看VRC用户的访问权限，如下图所示。

2）在VRC客户端主机中，可以通过命令“route print”查看本地路由配置，如下图所示。

3）选择 虚拟专网 > VRC管理，然后激活“在线用户”页签，可以查看网关上的VRC用户信息，如下图所示。

4）在VRC用户主机中，ping通“192.168.0.10”，并能成功登录OA系统。

六、注意事项

1）在IPSec VPN网关中，必须开启与客户端主机相连的网关接口所属区域的IPSec功能；必须关闭“包校验和”开关（默认情况下是关闭的）。

2）VRC用户访问授权资源前，必须关闭客户端主机中的软件防火墙和防病毒软件，否则即使VRC隧道协商成功，也可能会无法正常通讯。

3）内网服务器的默认网关必须指向VPN网关。