使用TMG 2010建立IPSec VPN

1.概述

1.1. 前言

在跨地域的网络环境之间,建立无需拨号连接的VPN连接。在没有点对点专线、硬件VPN设备等条件下,是否可以使用软件来实现?

本文将详解如何使用Forefront TMG 2010建立Site-to-Site IPsec VPN。

1.2. 网络拓扑

拓扑说明

A站:

? 局域网内有1个子网10.2.4.0/24

? 双Internet出口,网络访问默认出口为路由器,与站点B的通信则经过TMG

? 使用TMG作为Site-to-Site VPN设备,TMG工作模式为边缘防火墙

B站:

? 局域网内有2个子网,分别为192.168.10.0/24和172.17.0.0/16

? 单Internet出口,所有网络流量均由TMG处理

? 使用TMG作为Site-to-Site VPN设备,TMG工作模式为边缘防火墙

2. VPN配置

2.1. 软件更新

在A站和B站分别安装Forefront TMG2010,并更新至SP2

? TMG 2010不带补丁的版本号为7.0. 8108

? 补丁升级必须从低到高,且不能跳过低版本补丁

2.2. A站配置

在网络连接中,配置TMG网络

检查网络连接中的内部网络地址,并确保TMG可以访问

由于TMG为双网卡边缘防火墙模式,LAN网卡是不设备网关的,所以需要手动创建到10.2.4.0/24的路由

可以使用route add命令创建路由,也可以使用TMG的路由功能创建网络拓扑路由

命令行:

route add –p 10.2.4.0 mask 255.255.255.0 10.2.3.2

10.2.3.2为路由下一跳地址

在远程访问策略(VPN)中,创建VPN点对点连接

填写VPN网络名称

选择VPN协议为IPsec

连接设置,填写远程(B站)和本地(A站)的VPN网关地址(即用来做VPN的公网地址)

选择身份验证方法,可以选择由同一CA发布的证书,也可以使用预共享(PSK)密钥加密

添加需要访问到对端(B站)的内部地址范围,此处会默认添加对端VPN网关地址

点对点网络规则页面,直接下一步

点对点网络访问规则页面,选择所有出站通讯

完成配置,并应用生效

2.3. B站配置

创建点对点VPN,输入VPN网络名称,同样选择VPN协议为IPsec。

连接设置页面,与A站配置相反,填写远程(A站)和本地(B站)的VPN网关地址

IPsec身份验证必须与A站的配置完全相同

添加对端(A站)内部地址范围

网络访问规则与A站配置相同,选择所有出站通讯。完成并应用配置

3. 验证

3.1. 查看VPN会话状态

在A站TMG上查看

在B站TMG上查看

A站主机通过VPN访问B站网络共享

这样,Site-to-Site IPsec VPN就配置成功了。

关于本案例中提到的A站双Internet出口问题,请参考【Cisco策略路由配置

时间: 2024-08-26 02:10:12

使用TMG 2010建立IPSec VPN的相关文章

飞塔防火墙和tplink路由器建立IPSEC VPN

公司外网网关为一台飞塔防火墙,需要与分支机构建立一条IPSEC vpn链路,分支机构有一台tplink路由器可支持ipsec功能. tplink路由器配置步骤: 一.创建vpn建立第一阶段IKE的加密组件: 二.创建vpn第一阶段相关模式信息: 三.创建第二阶段加密组件以及模式: 四.其他的访问控制,全部放行即可.(路由设置好本地路由即可,vpn中的远端路由不需要写到路由表中.) 飞塔防火墙配置步骤: 一.创建vpn第一阶段配置信息 二.创建vpn第二阶段配置信息 说明:好像vpn两端配置的源地

IPSec VPN的原理与配置

博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 一.VPN概述 VPN技术最早是为了解决明文数据在网络上传输带来的安全隐患而产生的.TCP/IP协议族中很多协议都是采用明文传输的,比如telnet.ftp.tftp等. VPN技术可以对公网上传输的数据进行加密,也可以实现数据传输双方的身份验证. 1.VPN的定义 VPN(虚拟专用网),就是在两个网络实体之间建立的一个受保护的连接.这两

IPSec VPN原理与配置

需求:IPSec在VPN对等体设备实现的安全特性,如数据的机密性,完整性,验证等. 效果:对公网上传输的数据进行加密,即使黑客通过某种窃听工具截获到数据,也无法了解数据信息的含义:也可以实现数据传输双方的身份验证,避免黑客伪装成网络中的合法用户攻击网络资源. 理论:    VPN概述 VPN起源是为了解决明文数据在网络上传输带来的安全隐患而兴起的.TCP/IP协议簇中的很多协议都采用明文传输,如telnet,ftp,ftfp等. VPN可以对公网上传输的数据进行加密,即使黑客通过某种窃听工具截获

详解IPSec VPN

防伪码:以爱之名,判你无期徒刑,在我心里执行. 前言:本章主要讲解IPSEC VPN相关理论概念,工作原理及配置过程.从安全和加密原理入手,讲解了IPSEC 在vpn对等体设备实现的安全特性,如数据的机密性.数据的完整性,数据验证等.重点分析IKE阶段1和阶段2的协商建立过程,为VPN等体间故障排查打下坚实的理论基础,最后,分别在cisco的路由器和防火墙上实现IPSEC VPN的应用和配置,并结合企业需求进行案例分析和讲解. 一. VPN概述 VPN技术起初是为了解决明文数据在网络上传输带来的

IPsec VPN原理与配置 【Route&ASA】

IPsec VPN原理与配置 简单的了解一些VPN的理论知识: 1.VPN的连接模式 VPN技术有两种传输模式:隧道模式和传输模式.这两种模式定义了两台实体设备之间传输数据时所采用的不同封装过程. (1)传输模式 传输模式一个最显著的特点就是:在传输过程中,包头并没有被封装进去,意思是从源端到目的端始终使用原有的IP地址进行通信.而传输的实际数据被封装在VPN报文中. (2)隧道模式 与传输模式的区别显而易见,VPN设备将整个三层数据报文封装在VPN数据内,再为封装过后的数据报文添加新的IP包头

IPSec VPN扩展实验

需求:Site1 和 Site2,Site3分别建立IPSec VPN,实现流量加解密. Site1: interface Loopback0 ip address 1.1.1.1 255.255.255.0 ! interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 192.168.12.254 crypto isakmp policy 100 encr 3des au

飞塔 (Fortinet) 防火墙配置-IPsec VPN (固定宽带-拨号宽带)

简介 VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网. IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务. 很多企业有类似这种的

NAT对IPSec VPN的影响

Site1和Site2建立IPSec VPN,Site1做NAT,怎样解决NAT对IPsec VPN的影响,有以下解决方案. 1.     Site1与Site2建立IPSec VPN: Site1: crypto isakmp policy 100  encr3des  authentication pre-share  group2 crypto isakmp key cisco address 61.128.1.1 ip access-list extended vpn    permit

ASA防火墙IPSEC VPN配置

一.IPSEC  VPN (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商策略 isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可 isakmp policy 5 authenticationpre-share    //配置认证方式为预共享密钥 isakmp policy 5 encryption des            //配置isakmp 策略的加密算法 i