一、 Vigor的配置: 1.基本设置(Common Settings): a.输入Profile Name. b. 选择 "Enable this Profile". c. 选择 Dial-Out,Idle Timeout 选项设为0,这样可以始终维持IPSec隧道的开通直到远端拨入端发出终止命令。如果选择Always on, 那只要连接一中断路由器就会自动重拨。 2. 拨出设置(Dial-Out Settings): a. 选择IPSec 模式。 b. 输入远端VPN server的IP地址/主机名字。 c. 输入IKE Pre-shared 值。 d. 选择IPSec 安全模式: 高(ESP)。 4. TCP/IP网络设置(TCP/IP Network Settings): 输入远端局域网内网IP地址及其网关。 二、Check Point settings: 1.定义 Network Objects,输入VPN的IP地址,子网掩码。 2.两边的VPN都要进行上述操作。 3.为每一个VPN gateway 创建或修改Workstation Network Objects 添加VPN 配制参数。 4.单击VPN tab ,修改 VPN的定义 单击 " Other "修改 Encryption Domain 并为此gateway的 encryption domain.添加 Network Object。 5.单击 " IKE " 来编辑Encryption Scheme,选择3DES (或 DES ) SHA1、 MD5、 Pre-Shared Secret. 取消对 " Supports Aggressive Mode "的选定。 6.编辑其他的VPN gateway 。 7.单击VPN tab来修改 VPN定义。 单击" Other "来修改Encryption Domain,并为此 gateway的encryption domain添加 Network Object。 8.单击 " IKE " 来编辑Encryption Scheme,选择3DES (或 DES ) SHA1、 MD5、 Pre-Shared Secret. 取消对 "Supports Aggressive Mode"的选定。 9.单击 Edit Secrets 来添加 Pre-Shared Secret. 10.单击 " Edit ". 输入 secret然后单击 " Set " 11.两个主机之间的 Pre-Shared Secret将不再被改动 ,你仍然需要在Vigot2900V VPN配制里设置相关参数。 12.配制 Firewall Rules,允许 IPSec encryption. 定义firewall policies:允许 encryption domains之间的 IPSec encryption 。你需要定义encryption domain network rules,选择action to Encrypt。 在本例中,我们开启encryption domains中的所有服务。 13.双击Encrypt Action来编辑IPSec rules. 14.单击IKE 、 "Edit"来编辑 IPSec rules.选择 ESP, 3DES (或 DES) , SHA1. On " Allowed Peer Gateway " 最后一个选项填Vigor_Gateway. 15.重复以上步骤来编辑其它的 IPSec/encrypt rules. 修改 Security Association Timeframe,在进行 IKE Security Association与Check Point VPN-1以及 IKE Security Association与 Vigor Gateways的重新协商时,timeframes的默认设置是不一样的。这些参数已不需要修改也不用被禁止。为了安全起见还是将这些参数设置为和 timeframes一致。在本例中,我们将Check Point的设置改为和 Vigor的一样。 在Check Point Policy编辑器重,选择 Encryption tab of the Policy / Properties Setup.修改 the IKE Security Association time为 480 minutes (8 hours) 使其与 Nokia的设置一致, IPSec timeframes 的默认之为 (3600 seconds, 即 1 hour)。 到此 完成了Check Point VPN gateway的设置。
已读次数:4322