IPSEC VPN结合PPTP VPN实现外出工程师维护模式

一、 网络拓扑图
http://www.m2mlib.com/uploads/article/20171114/23a16287feb6a4b90548d91d0fc4381a.jpg
二、 网络拓扑说明  客户端现场: 客户端现场的PLC通过网线连接IR700的LAN口,并通过其联网,IR700通过与中心cisco建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;  中心端: 中心端使用cisco rv042进行网络接入,并要求固定公网IP(保证网络通讯的可靠性);中心端与客户端现场3G路由器建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;同时,中心端设定了PPTP SERVER,保证出差工程师电脑能够通过PPTP VPN连接到中心,实现通过中心间接访问每个客户端现场内网的应用。  出差工程师端: 出差工程师由于其接入网络的特殊性,可通过windows自带的vpn客户端功能,通过设定pptp vpn连接到中心端,实现通过中心间接访问每个客户端现场内网的应用。 三、 设备具体设定说明; 1) 中心端Cisco rv042设定  Cisco lan设定信息;此例中LAN:192.168.1.1/24
http://www.m2mlib.com/uploads/article/20171114/499e481906d4f012b65b0e3ba28d6bab.png
 Cisco ipsec vpn设定; Cisco ipsec vpn设定信息; Tunnel name:自定义; Interface:获得公网IP的接口; Enable:打钩; Local security gateway type:因为考虑到真实环境下网络可靠性,要求cisco端具备固定公网IP;所以这里选择的是ip only; Local security group type:subnet;(子网) Ip address:cisco内网网段网络号; Subnet mask: cisco内网子网掩码;
http://www.m2mlib.com/uploads/article/20171114/6970c51322ec539be0e652fb3bcca520.png
Remote security gateway type:因为3G无线路由器侧是动态IP,所以这里选择“dynamic ip+domain name(FQDN)authentication” Domain name:自定义字段,但是要和3G侧设定保持一致! Remote security group type:subnet;(子网) Ip address:3G侧内网网络号;  Subnet mask:3G侧内网子网掩码;
http://www.m2mlib.com/uploads/article/20171114/bfe10a992da32f094b924446da2437a3.png
下图是IPSEC VPN建立过程中涉及到的IKE协商和IPSEC协商的参数,中心端和3G端必须要保持一致!
http://www.m2mlib.com/uploads/article/20171114/3ff32fc0ec336447a89165f5180afca2.png
下图是cisco端高级选项设置,请保持为空,如下:
http://www.m2mlib.com/uploads/article/20171114/bf204c3054acd0ed1abe0d029bca3114.png
 Cisco pptp vpn设定信息; 要设定PPTP SERVER,要先开启,即“enable pptp server”; 由于cisco rv042只能支持5个pptp 客户端连接,所以地址池也只能设定5个地址范围,比如下面例子;(地址池可自定义设定;) Pptp server需要创建用户名和密码以供客户端验证用,可自定义设定;
http://www.m2mlib.com/uploads/article/20171114/d07f49b669b1cfd0503654a9351d62a9.png
2) 客户端现场IR700VZ/WH配置 备注:目前仅使用任意一台路由器配置演示!  拨号端口设定; 登录IR700,修改拨号端口处ICMP探测,以保证无线设备运行中网络的健壮性;
http://www.m2mlib.com/uploads/article/20171114/53c1dcb8be24785ed0e3e7a720a0065b.png
 LAN口IP设定; 更改LAN口IP;点击“网络”-“LAN”
http://www.m2mlib.com/uploads/article/20171114/8e1c8b80f73878a859092dc324f80d55.png
 配置IPSEC VPN; 点击“VPN设置”-“IPSEC 隧道配置”-“新增”
http://www.m2mlib.com/uploads/article/20171114/c9b9563d892949d169dce589cab7e13f.png
http://www.m2mlib.com/uploads/article/20171114/aaceaa183354b7b7d2fa22e9d60c7cd3.png
http://www.m2mlib.com/uploads/article/20171114/0989608d1b26af735237deba4abe5af9.png
基本参数: 设置IPSec隧道的基本参数 隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看,缺省为IPSec_tunnel_1。 对端地址:设定为VPN服务端IP/域名,例如:218.240.44.196 启动方法:选择自动启动。 VPN断开后挂断拨号连接:勾选。 协商模式:可选择主模式,野蛮模式。 IPSec协议:可以选择ESP,AH两种协议。 一般选择ESP。 IPSec模式:可以选择隧道模式,传输模式。 一般选择隧道模式。 隧道模式:可以选择为 主机——主机,主机——子网,子网——主机,子网——子网,四种模型。一般选择“子网——子网”模式。 本地子网地址:IPSec本地保护子网。例如:10.5.12.0。 本地子网掩码:IPSec本地保护子网掩码。例如:255.255.255.0。 对端子网地址:IPSec对端保护子网。例如:192.168.0.0。 对端子网掩码:IPSec对端保护子网掩码。例如:255.255.0.0。 第一阶段参数:配置IPSec隧道在第一阶段协商时的参数。 IKE策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。 IKE生命周期:缺省为86400秒。 本地标识类型:可以选择FQDN,User FQDN,IP地址。 本地标识:根据选择的标识类型填入相应标识。建议选择为空。 对端标识类型:可以选择FQDN,User FQDN,IP地址。建议选择IP地址。 对端标识:根据选择的标识类型填入相应标识,此处我们选择FQDN,以Cisco的主机名为标识@Router 认证方式: 可以选择共享密钥和数字证书。一般选择为共享密钥。 密钥:设置IPSec VPN协商密钥。 第二阶段参数:配置IPSec隧道在第一阶段协商时的参数。 IPSec策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。 IPSec生命周期:缺省为3600秒。 完美前向加密:可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配,一般选择禁用。 连接检测参数: 设置IPSec隧道的连接检测参数   DPD时间间隔:DPD检测时间间隔。建议不填。   DPD超时时间:DPD检测超时时间。建议不填。   ICMP检测服务器:填入IPSec VPN对等端(服务器端)私网IP地址,须保证能被ping通。例如Cisco LAN口IP地址。   ICMP检测本地IP地址:填入IR700 LAN口IP地址,如192.168.2.1。   ICMP检测时间间隔:建议60s。   ICMP检测超时时间:建议30s。   ICMP检测最大重试次数:建议5次。 配置完成后点击“保存”选项。 3) 移动(出差)电脑端设置: 配置PPTP 点击“开始”—“控制面板”-“网上邻居”,双击打开;
http://www.m2mlib.com/uploads/article/20171114/fa70057923e0024910d381442f33ef57.png
创建一个新连接,点击“下一步”
http://www.m2mlib.com/uploads/article/20171114/f68ef0d8765c32fbdbb69e95fce3ad0f.png
http://www.m2mlib.com/uploads/article/20171114/876d919e79d89fce3dc775ec369be665.png
http://www.m2mlib.com/uploads/article/20171114/2451b80ddb0487b60af8b0782ce4ee30.png
下面公司名称自定义;下图文字是举例。
http://www.m2mlib.com/uploads/article/20171114/58f0ade620a7594abdc443b08aa25d55.png
下面主机地址请填真实公网ip信息,下图为举例
http://www.m2mlib.com/uploads/article/20171114/2481e679b187d08ed77886bccaccb6be.png
http://www.m2mlib.com/uploads/article/20171114/6c9779f924a6b9412f0a23c50f2cb260.png
输入cisco端设定pptp server时创建的用户名和密码,点击“属性”-“安全”-“高级(自定义配置)”-“设置”,数据加密选择“可选加密”;最后点击确定;
http://www.m2mlib.com/uploads/article/20171114/43db12fe651d6460668f85041be71a16.png
在属性对话框中选择“网络”,VPN类型选择“PPTP VPN”,点击确定;
http://www.m2mlib.com/uploads/article/20171114/f258f8334227300d77f15adec5561898.png
备注: 下图IP地址信息设定可以“自动获得IP地址”也可以像下图手动设定,但是下图IP是举例!
http://www.m2mlib.com/uploads/article/20171114/d4411f6523c8413d8799821983402f3a.png
注意:下图中“IP设置”中“在远程网络上使用默认网关”不要打钩!
http://www.m2mlib.com/uploads/article/20171114/7562a918e8f47a58b5a2b72e940d7857.png
http://www.m2mlib.com/uploads/article/20171114/abd5f6a38aba09c04aa2c041a11fb1f0.png
在windows上增加一条到所有3G无线路由器现场的路由;下图是具体配置 Route add 192.168.0.0 mask 255.255.0.0 192.168.1.1  备注: (192.168.1.1是cisco ip) 该命令可制作一个.bat批处理文件给到客户,操作步骤: 1. 当客户连接好PPTP后, 2. 双击.bat批处理就可成功添加了路由; “addroute.bat”文件使用方法: 右击上图“addroute.bat”-“包装程序外壳对象”-“激活内容
http://www.m2mlib.com/uploads/article/20171114/4b6385ea4bbb1298e4519153509e0e5f.png
四、 测试;
http://www.m2mlib.com/uploads/article/20171114/9f1012e0b4e074b5c57e82c28113305a.png
     

1 个评论

如果中心端不是固定公网IP地址要怎么弄?

要回复文章请先登录注册