【防火墙】PPTP 站点到站点VPN配置指南

应用介绍

VPN功能的实用性毋庸置疑,公司总部与分部之间搭建安全隧道来实现内网资源的安全共享等需求都可以通过VPN来实现。与路由器配置方法的不同之处在于防火墙不仅需要进行VPN相关配置,还需要开放VPN相关的安全策略。

通过防火墙的VPN功能,在公司总部与分部之间搭建安全隧道,实现总部与分部的内网资源的安全共享,拓扑图如下所示:

设置方法

防火墙在使用设备本身的某个功能时,首先要开启对应功能,其次是考虑下该功能要实现所需要开放的服务或者权限,以VPN为例,在设置好VPN以后需要开放的服务或权限包括:允许外网设备与防火墙建立VPN、允许外网访问内网服务器、允许外网通过防火墙进行代理上网等,具体配置方法如下文所示。

一、作为服务器端的防火墙的配置方法

1. “网络”-“PPTP”,设置开启对应接口的PPTP服务器。

2. “对象”-“IP地址池”,设置VPN用户的待分配的地址池,该地址池应与防火墙的各接口IP不在同一网段。

3. “网络”-“VPN用户管理”,设置相应的VPN用户名、密码,设置用于VPN通讯的虚拟本地地址,选择2中设置的IP地址池,设置DNS服务器,组网模式选择站点到站点,填入实际的对端子网。

4. “对象”-“服务”-“服务组”,设置VPN服务组并绑定已内置的VPN相关服务,此处为了方便其他类型VPN配置,绑定了三类VPN相关的服务。

5. “策略”-“安全策略”,点击新增,设置源安全区域为“Untrust”,目的安全区域为“Local”,源地址选择所有,目的地址可以设置为1中开启VPN的接口的IP(可以在“对象”-“地址”中添加对应地址的地址组),倘若该地址非固定IP,目的地址可选择为所有地址“IPGROUP_ANY”,服务组为4中设置的“VPN”,动作为允许。

6. “对象”-“地址”-“地址/地址组”,添加2中所设地址池对应的地址段到“VPN”地址组。

7. 如果要允许VPN客户端的VPN用户访问内网服务器,则需要开放相应的安全策略:“策略”-“安全策略”,点击新增,安全区域为从“Untrust”到“DMZ”,源地址为6中设置的“VPN”,目的地址为服务器所在的网段“DMZ”(设置方法与6相同),动作为允许。

8. 如果VPN客户端内网主机需要通过防火墙代理上网,则还需要添加相应的安全策略:“策略”-“安全策略”,点击新增,安全区域为从“Untrust”到“Untrust”,源地址为的“VPN”,目的地址为所有地址“IPGROUP_ANY”,动作为允许。

备注:实现代理上网需要确保防火墙的NAPT规则源地址中包含VPN地址池所在网段。

9. 如果要允许内网Trust区域的设备访问客户端内网服务器(3中设置的对端子网),还需要添加相应安全策略:“策略”-“安全策略”,点击新增,安全区域为从“Trust”到“Untrust”,源地址为的“LAN”,目的地址为客户端服务器所在地址,此处为方便设置为所有地址“IPGROUP_ANY”,动作为允许,还可以设置URL过滤、反病毒等内容安全相关的检查策略。

以上便是作为服务器端的防火墙的配置方法。

二、 作为客户端的防火墙的配置方法

1. 设置允许VPN拨号的安全策略:“策略”-“安全策略”,点击新增,安全区域为“Local”到“Untrust”,源地址是WANIP,目的地址是对端WAN口的公网IP(此处填写的所有地址“IPGROUP_ANY”),服务组选择VPN(设置如第一部分中4所示),动作选择允许。

2. “网络”-“PPTP”-“PPTP客户端”,填入服务器端已预设的用户名、密码,选择设备联网的出接口,服务器地址为服务器端的WANIPMEEP加密按照服务器端设置填写,对端子网按照服务器端子网填写,工作模式选择NAT

注意:此处工作模式需要选择NAT模式(经过VPN隧道的数据包进行NAT转换,将源地址转换为PPTP隧道的虚拟本地IP),因为服务器端只开放了自己VPN地址池网段(PPTP隧道的虚拟本地IP所在网段)的访问权限,如第一部分67所示。

3. 此时在隧道信息列表中可以查看搭建成功的VPN隧道。

4. 如果要允许内网Trust区域的设备访问VPN服务器端的内网服务器,还需要添加对应的安全策略:“策略”-“安全策略”,点击新增,安全区域为从“Trust”到“Untrust”,源地址为允许访问服务器的内网的地址组,此处设置的是“LAN”,目的地址为服务器IP对应的地址组,此处为方便设置为所有地址“IPGROUP_ANY”,动作为允许。

5. 如果要允许VPN服务器端的设备访问内网服务器,则需要添加相应安全策略:“策略”-“安全策略”,点击新增,安全区域为从“Untrust”到“DMZ”,源地址为服务器端有访问需求的网段“Server_VPN”(如下图所示),目的地址为服务器网段地址“DMZ”,动作为允许,还可以设置URL过滤、反病毒等内容安全相关的检查策略。

以上便是作为客户端的防火墙的配置方法。

该需求同样可以通过L2TP VPN实现,其配置方法与PPTP VPN类似,区别在于VPN功能自身的相关设置(如前文第一部分中的步骤13和第二部分中的步骤2)应选择L2TP相关配置 ,其它的对象与安全策略的相关设置基本一致。