首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > ... > 技术文章-KWF > KWF-VPN > KWF 6.01中的Site-to-Site VPN使用说明
现在时间是: 2018-11-13 08:25
KWF 6.01中的Site-to-Site VPN使用说明

(2004-07-04 20:32)
来源:Kerio

 

KWF 6.01中的Site-to-Site VPN使用说明

 

前言:由于没有足够的实验环境,此篇文章译自Kerio Winroute Firewall使用帮助中的Configuration of the VPN tunnel — Example。此篇文章介绍了一个较为复杂的VPN配置环境,关于基本的VPN配置,可以参见 Kerio WinRoute Firewall — Step By Step Configuration一文。

本次实验的网络拓朴结构如下图所示,公司总部在New york,在Chicago有个分公司,我们想通过使用Kerio Site-to-Site VPN来连接Chicago的本地网络到公司总部的网络中。

  • IP地址配置:公司总部的默认网关IP是63.55.21.12(DNS名字为 newyork.company.com),Chicago的服务器采用DHCP获取IP地址。

  • 网络结构:公司总部的本地网络有两个子网,LAN 1和LAN 2。公司总部的网络使用company.com后缀的DNS域名。分公司的本地网络只有一个子网,使用 filial.company.com域名。

我们需要对网络之间的流量进行限制,以实现以下目的:
  • VPN客户可以连接到LAN 1和分公司的网络;
  • 在所有网络中禁止到VPN客户的连接;
  • 分公司的网络只能访问LAN 1的WWW、FTP和Microsoft SQL services服务。
  • 对于公司总部网络到分公司的网络,没有任何限制。
  • LAN 2对分公司网络和VPN客户都不可见。

 

一、公司总部设置:

1、在公司总部默认网关上安装KWF。

2、在首次运行KWF控制台时出现的Network Rules Wizard中,选择“Yes, I want to use Kerio VPN”。

选择这个选项后,KWF会自动为VPN客户建立相应的Traffic policy , 如下图

当VPN隧道建立好后,我们会在后面对它进行一些调整以迎合网络限制的需求,具体可以参加步骤6。

 

3、自定义DNS配置

(1)在KWF的DNS转发器配置中,指定非 company.com域的DNS名字转发到的DNS服务器地址,这个也可以设置为从TCP/IP配置自动获取;

(2)启用Use custom forwarding选项,然后定义 filial.company.com域的域名解析转发。注意,DNS服务器的IP地址要设置为远程DNS服务器的IP地址。

(3)设置此接口的IP地址(10.1.1.1)作为KWF连接到本地网络的接口的主DNS服务器。

(4)对于其他计算机,设置 KWF内部接口的IP地址10.1.1.1作为它们的DNS服务器。

4、启用VPN服务器,配置它的SSL证书。注意,VPN服务器会随机选择一个没有使用的网络作为VPN网络。

5、建立一个被动端的VPN隧道(分公司的KWF作为主动端)。在Remote endpoint's SSL certificatefingerprint:下输入分公司的KWF VPN服务器SSL证书的Fingerprint。

6、自定义Traffic policy以迎合网络限制的要求,定义好的Traffic policy如下:

 

 

作者:风间子
责任编辑:风间子

[1] [2] 下一页>>
上一篇:Kerio Winroute Firewall 6.01 VPN使用详解
相关信息:

Kerio Winroute Firewall 6.04发布
Kerio Winroute Firewall 6.0.1正式发布!
Kerio Winroute Firewall 使用详解
KWF知识库文章:什么是协议检查器(Protocol Inspector)?
Kerio Winroute Firewall 6.0 final新功能评测

热点信息 TOP 10
Kerio Winroute Firewall 6.01 VPN使用详解
KWF 6.01中的Site-to-Site VPN使用说明

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2018 All Rights Reserved..