KerioWinrouteFirewall6.docx
- 文档编号:10793960
- 上传时间:2023-05-27
- 格式:DOCX
- 页数:18
- 大小:468.35KB
KerioWinrouteFirewall6.docx
《KerioWinrouteFirewall6.docx》由会员分享,可在线阅读,更多相关《KerioWinrouteFirewall6.docx(18页珍藏版)》请在冰点文库上搜索。
KerioWinrouteFirewall6
KerioWinrouteFirewall6.01VPN使用详解
前言:
这篇文章是应朋友要求写的,作为KWF5.x使用详解的补充。
KWF的VPN功能非常简单好用,你在看完这篇文章后,可以对它有很全面的了解。
首先介绍一下KWF6.01中VPN的核心概念。
KWF的VPN服务器和其他很多修改远程客户的默认网关的VPN服务器不一样,除了给远程客户分配IP外,它只是通过客户端的VPNClient修改远程客户的路由表,就像客户多了个接入到新网络的接口和添加了对应的路由项,而不修改远程客户的默认网关。
除了Site-to-SiteVPN(VPNtunnel)外,都是KWFVPN服务器向VPNClient提供路由信息。
它按照以下规则提供路由信息:
∙默认路由信息不提供;
∙有冲突的网络信息不提供(如远程客户处于192.168.0.0/24子网,而VPN服务器内网也有个192.168.0.0/24的子网,则该子网路由信息不提供给远程客户);
∙其他子网全部提供;
远程客户的路由表由VPNclient负责更新,当发生以下情况时,VPNclient更新本地路由表:
∙建立了VPNtunnel或者当远程客户连接到VPNserver;
∙VPNtunnel的任何一方路由信息改变或者远程客户连接到的VPNserver上的路由信息改变;
对于不同的连接,更新周期是不同的。
VPNtunnel是30s一次,连接到VPNserver的VPNclient是1min一次,不管是否有数据更新。
此次实验的网络拓朴结构如下图,ComputerA作为外网计算机,安装KerioVPNclient接入到NATServer,访问ComputerB:
下面我从VPNserver和VPNclient两方面来说明KWFVPN的使用。
一、VPNserver配置
一次完整的VPNserver设置应该包含以下四个步骤:
∙安装VPNserver
∙启用VPNserver
∙建立VPNusers
∙配置Trafficpolicy
1、安装VPNserver
在安装KWF6.01的时候,默认情况下会安装VPNserver组件。
如果你是使用自定义安装,记得勾选VPNsupport组件。
2、启用VPNserver
在首次进入KWF管理界面时,会出现NetworkrulesWizard,在第5页,记得选择“Yes,IwanttouseKerioVPN”。
默认情况下,VPNserver会随机使用一个和你内部网络不同的C类网络。
你可以根据自己的需要进行修改。
双击VPNserver进入它的属性,在这次实验中,我将其使用网络改为172.16.0.0/24。
点击“Advanced”进入其高级设置,在里面,你可以修改VPN服务器使用的端口和连接时使用的证书。
点击“ChangeSSLCertificate...”可以进入证书设置,在这儿,你可以生成新的证书,或者导入证书。
点击“GenerateCertificate...”,在里面你可以生成你自己的VPN服务器证书。
3、建立VPNusers
VPNusers是和KWF用户集成的,可以使用ActiveDirectory用户数据库或者KWF内部的用户数据库。
在Users控制台点击“Add...”添加新的用户。
在第1页“常规”上输入用户信息,在这个实验中,名字为vpnuser,使用KWF的“Internaluserdatabase”。
由于没有新建组,在第2页“组”上直接跳过。
如果你有大量的用户,可以通过建立组来管理用户。
第3页“权限”页比较关键。
至少要勾选“UsercanconnectusingVPN”,其他的权限根据你自己的情况进行选择。
在第4页“限额”上,如果你想对此用户进行流量的限制,则可以选择对应的选择。
第5页“内容策略”上可以控制用户可以通过KWF进行访问的HTTP内容。
其实对于VPNusers,KWF默认是不允许其通过KWF来上网的,这个主要是对处于内部网络的用户的限制。
第6页“自动登录”上,可以选择用户从哪儿进行自动登录。
这个对用户的流量统计比较有用。
点击“Finish”后,你可以在Users里面看见新建的用户vpnuser。
4、配置Trafficpolicy
在默认情况下,如果你在NetworkrulesWizard中选择了“Yes,IwanttouseKerioVPN”,则在Trafficpolicy中会自动建立两条策略:
允许外部用户访问KerioVPN和允许VPNclients和内部网络相互之间的访问。
如下图,如果没有则你根据下面的规则新建。
至此,VPNserver的配置完全完成,以下进入VPNclient的配置。
二、VPNclient配置
KerioVPNclient对客户机的要求为:
∙CPU最低300MHz;
∙内存128MB;
∙3MB磁盘空间;
∙支持的操作系统有:
Windows2000,XP,WindowsServer2003,注意,不支持以前的操作系统,如Win9x/ME;
∙不能在已安装了KWFVPNserver的计算机上安装。
KerioVPNclient的核心驱动kvpndrv.sys会在系统中模拟一个网络适配器,如果安装过程中出现驱动未经过微软验证的问题,忽略即可。
安装完后需要重启计算机以加载驱动。
KerioVPNclient的安装不需要任何license,但是VPN用户连接到KWF中的时候会计算入KWF的用户授权。
KerioVPNclient只会自动更新本地的路由表,不会进行其他任何修改。
因为这个原理,它可以同时连接到多个VPNserver上而不会有任何冲突问题。
未连接VPN前,ComputerA上的IP配置和路由表如下:
C:
\>ipconfig/all
WindowsIPConfiguration
HostName............:
mine
PrimaryDnsSuffix.......:
NodeType............:
Unknown
IPRoutingEnabled........:
No
WINSProxyEnabled........:
No
Ethernetadapter本地连接:
Connection-specificDNSSuffix.:
Description...........:
RealtekRTL8139FamilyPCIFastEthernetNIC
PhysicalAddress.........:
00-50-8D-4F-5F-C5
DhcpEnabled...........:
No
IPAddress............:
61.139.2.8
SubnetMask...........:
255.255.255.0
DefaultGateway.........:
61.139.2.1
EthernetadapterKerioVPN:
Connection-specificDNSSuffix.:
Description...........:
KerioVPNadapter
PhysicalAddress.........:
44-45-53-54-96-70
DhcpEnabled...........:
Yes
AutoconfigurationEnabled....:
Yes
IPAddress............:
169.254.47.195
SubnetMask...........:
255.255.255.0
DefaultGateway.........:
DHCPServer...........:
169.254.47.194
LeaseObtained..........:
2004年7月4日10:
27:
32
LeaseExpires..........:
2004年7月4日10:
27:
42
C:
\>routeprint
===========================================================================
InterfaceList
0x1...........................MSTCPLoopbackinterface
0x2...00508d4f5fc5......RealtekRTL8139FamilyPCIFastEthernetNIC-数据包计划程序微型端口
0x10004...444553549670......KerioVPNadapter
===========================================================================
===========================================================================
ActiveRoutes:
NetworkDestination
Netmask
Gateway
Interface
Metric
0.0.0.0
0.0.0.0
61.139.2.1
61.139.2.8
20
61.139.2.0
255.255.255.0
61.139.2.8
61.139.2.8
20
61.139.2.8
255.255.255.255
127.0.0.1
127.0.0.1
20
61.255.255.255
255.255.255.255
61.139.2.8
61.139.2.8
20
127.0.0.0
255.0.0.0
127.0.0.1
127.0.0.1
1
169.254.47.0
255.255.255.0
169.254.47.195
169.254.47.195
20
169.254.47.195
255.255.255.255
127.0.0.1
127.0.0.1
20
169.254.255.255
255.255.255.255
169.254.47.195
169.254.47.195
20
224.0.0.0
240.0.0.0
61.139.2.8
61.139.2.8
20
224.0.0.0
240.0.0.0
169.254.47.195
169.254.47.195
20
255.255.255.255
255.255.255.255
61.139.2.8
61.139.2.8
1
255.255.255.255
255.255.255.255
169.254.47.195
169.254.47.195
1
DefaultGateway:
61.139.2.1
===========================================================================
PersistentRoutes:
None
运行KVC,界面如下,输入KWFVPNserverIP地址和用户账户:
选择Savepasword则将用户密码保存在当前Windows用户的配置文件中;勾选Persistentconnection则可以在VPN链路断开时进行自动拨号恢复。
点击Connect,连接功能后会有以下提示:
接入VPN后的IP配置和路由表:
MicrosoftWindowsXP[版本5.1.2600]
(C)版权所有1985-2001MicrosoftCorp.
C:
\>ipconfig/all
WindowsIPConfiguration
HostName............:
mine
PrimaryDnsSuffix.......:
NodeType............:
Unknown
IPRoutingEnabled........:
No
WINSProxyEnabled........:
No
Ethernetadapter本地连接:
Connection-specificDNSSuffix.:
Description...........:
RealtekRTL8139FamilyPCIFastEthernetNIC
PhysicalAddress.........:
00-50-8D-4F-5F-C5
DhcpEnabled...........:
No
IPAddress............:
61.139.2.8
SubnetMask...........:
255.255.255.0
DefaultGateway.........:
61.139.2.1
EthernetadapterKerioVPN:
Connection-specificDNSSuffix.:
Description...........:
KerioVPNadapter
PhysicalAddress.........:
44-45-53-54-96-70
DhcpEnabled...........:
Yes
AutoconfigurationEnabled....:
Yes
IPAddress............:
172.16.0.2
SubnetMask...........:
255.255.255.0
IPAddress............:
169.254.47.195
SubnetMask...........:
255.255.255.0
DefaultGateway.........:
DHCPServer...........:
169.254.47.194
DNSServers...........:
172.16.0.1
LeaseObtained..........:
2004年7月4日10:
23:
37
LeaseExpires..........:
2004年7月4日10:
23:
47
C:
\>routeprint
===========================================================================
InterfaceList
0x1...........................MSTCPLoopbackinterface
0x2...00508d4f5fc5......RealtekRTL8139FamilyPCIFastEthernetNIC-数据包计划程序微型端口
0x10004...444553549670......KerioVPNadapter
===========================================================================
===========================================================================
ActiveRoutes:
NetworkDestination
Netmask
Gateway
Interface
Metric
0.0.0.0
0.0.0.0
61.139.2.1
61.139.2.8
20
61.139.2.0
255.255.255.0
61.139.2.8
61.139.2.8
20
61.139.2.1
255.255.255.255
61.139.2.8
61.139.2.8
1
61.139.2.8
255.255.255.255
127.0.0.1
127.0.0.1
20
61.255.255.255
255.255.255.255
61.139.2.8
61.139.2.8
20
127.0.0.0
255.0.0.0
127.0.0.1
127.0.0.1
1
169.254.47.0
255.255.255.0
169.254.47.195
169.254.47.195
20
169.254.47.195
255.255.255.255
127.0.0.1
127.0.0.1
20
169.254.255.255
255.255.255.255
169.254.47.195
169.254.47.195
20
172.16.0.0
255.255.255.0
172.16.0.2
169.254.47.195
20
172.16.0.2
255.255.255.255
127.0.0.1
127.0.0.1
20
172.16.255.255
255.255.255.255
169.254.47.195
169.254.47.195
20
192.168.0.0
255.255.255.0
172.16.0.1
169.254.47.195
1
224.0.0.0
240.0.0.0
61.139.2.8
61.139.2.8
20
224.0.0.0
240.0.0.0
169.254.47.195
169.254.47.195
20
255.255.255.255
255.255.255.255
61.139.2.8
61.139.2.8
1
255.255.255.255
255.255.255.255
169.254.47.195
169.254.47.195
1
DefaultGateway:
61.139.2.1
===========================================================================
PersistentRoutes:
None
C:
\>ping192.168.0.8
Pinging192.168.0.8with32bytesofdata:
Replyfrom192.168.0.8:
bytes=32time=2msTTL=63
Pingstatisticsfor192.168.0.8:
Packets:
Sent=1,Received=1,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=2ms,Maximum=2ms,Average=2ms
Control-C
^C
以上我们可以看出两点信息,第一,路由表中新添加的项;第二,ping内网机器时的TTL值为63,表明中间经过了一个路由器。
现在我们来访问ComputerB(192.168.0.8),我直接使用网上邻居来访问,如下图,访问成功:
另外,如果勾选的Persistentconnection,那么在Windows启动的时候,KVC会自动恢复VPN连接,但是根据KVC上次关闭时的状况,恢复连接分为两种情况:
∙如果是在Simplemode关闭的KVC,那么KVC只恢复当前的VPN连接;
∙如果是在Advancedmode关闭的KVC,则恢复Advancedmode中定义的所有具有Persistentconnection属性的VPN连接。
∙如果没有具有Persistentconnection属性的连接,则KVC启动后不做任何恢复
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- KerioWinrouteFirewall6