【RG-WALL 1600】wall 1600PC到网关的ipsec vpn如何配置

一、组网需求： 1、北京总部的内部网络地址是9990/24，北京防火墙的地址是1921683338。出差员工拨号获得的地址是1921683333，***地址是8888 2、实现在外出差的同事能随时随地通过PC拨入公司的***来访问内网的资源 3、***参数 IKE阶段的参数（以下参数两端必须配置一致）： 身份验证方式为：预共享密钥 预共享密钥：ruijie123 hash算法为：sha1 DH算法：5 IPSEC变换集参数（以下参数两端必须配置一致）： 用ESP方式建立*** 采用野蛮模式 需要走***的流量： 9990/24到8880/24二、组网拓扑：三、防火墙配置要点： 1、上网基本配置 2、启用***功能 3、配置IKE阶段参数 4、配置ipsec变换集参数 5、配置安全规则 放通IKE服务的包过滤，且移动到安全规则的第一条。 放通感兴趣流的包过滤，且让基走***隧道。四、防火墙配置步骤 : 1、上网基本配置--参见上网配置章节 PC能成功拨上***的前提是PC与防火墙的网络连通性是好的。 2、启用***功能 菜单>>***配置>>ipsec***>>基本配置>>启用***功能。3、配置***端点 菜单>>***配置>>ipsec***>>***端点， 配置认证方式为预共享密钥，密钥为：ruijie123； IKE算法模式为野蛮模式，本地ID:a（自定义），对方ID：b(自定义)，只要与客户端的一致即可 开启遵守客户端提案 其他保持默认值。4、配置***隧道 菜单>>***配置>>ipsec***>>***隧道，配置如下5、菜单>>安全策略>>安全规则>>添加， 放通IKE服务配置需要走***的感兴趣流。五、 客户端配置 1、客户端授权 用pc做为客户端拨入ipesc需要输入注册码这个注册码并非后台可以申请的,是需要在一个usb的电子钥匙中生成此USB需要另外购买。 2、客户端安装 安装*** 客户端双击 RG-WALL *** 客户端exe （此软件可致电4008索要）双击安装文件后显示准备安装程序请等待 显示欢迎界面，然后点击下一步根据提示点击:下一步 下图中选择我“接受许可证协议中的条款”，然后点击下一步上图中选择安装的路径：可以直接选择下一步 ，那么 ***客户端安装在默认路径下；如果想更改该路径，那么可以选择更改，然后选择你自己想安装的路 径（文件）下，然后点击下一步重启 安装完成后系统会提示：是否重启计算机，那么选择重新启动计算机，然后点击完成。如果不重启计算机，那么 *** 客户端在当前状态下无法使用 3、客户端配置 启动*** 客户端，进入客户端界面，界面下方点击添加，进行客户端的配置远程网关地址：该地址就是客户端与防火墙连接的地址（在防火墙 *** 隧道中配置的本地网关地址）； 远程网络地址：点击新建进行添加，输入对方保护子网的地址； 共享密钥：密钥就是防火墙端点中配置的密钥，两者必须一样（以本为例是 ruijie123）； 本地ID：就是在防火墙中配置的对方 ID，两者必须一致； 将启动时自动建立隧道勾选上，然后点击高级，进行下一步配置 ，点击高级，进入高级配置页面野蛮模式+密钥方式的默认情况下不需要修改，仅需要配置建立隧道时的虚 IP地址即可 勾选获取虚拟 IP地址，点击设置进行配置； 服务端和客户端都要选择野蛮模式4、***客户端连接 回到客户端界面，点击连接后会弹出一个启动信息框，如果信息中出现协商成功后（此对话框在协商成功 2 秒后自动消失），那么隧道就建立成功了，即就可以访问对端内部子网了。六、配置验证： 本地电脑IP地址

路由器怎么设置允许***功能及***的穿透设置。

如下参考：

1打开浏览器，输入并打开url链接，登录路由器管理界面。

2进入路由器管理界面，点击“路由设置”中的“WIFI高级设置”。

3选择“信号强度”作为“穿墙”，如下图所示。

4点击“ok”完成设置，如下图所示。

线路连接路由器及设置步骤：

1、将网线—路由器—电脑之间的线路连接好，启动电脑和路由器设备；

2、启动设备后，打开浏览器，在地址栏中输入19216811进入无线路由器设置界面。（如进不了请翻看路由器底部铭牌或者是路由器使用说明书，不同型号路由器设置的默认都不一样。）

3、设置界面出现一个登录路由器的帐号及密码，输入默认帐号和密码admin，也可以参考说明书；

4、登录成功之后选择设置向导的界面，默认情况下会自动弹出；

5、选择设置向导之后会弹出一个窗口说明，通过向导可以设置路由器的基本参数，直接点击下一步即可；

6、根据设置向导一步一步设置，选择上网方式，通常ADSL用户则选择第一项PPPoE，如果用的是其他的网络服务商则根据实际情况选择下面两项，如果不知道该怎么选择的话，直接选择第一项自动选择即可，方便新手操作，选完点击下一步；

7、输入从网络服务商申请到的账号和密码，输入完成后直接下一步；

8、设置wifi密码，尽量字母数字组合比较复杂一点不容易被蹭网。

9、输入正确后会提示是否重启路由器，选择是确认重启路由器，重新启动路由器后即可正常上网。

虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。***有多种分类方式，主要是按协议进行分类。***可通过服务器、硬件、软件等多种方式实现。

***属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

当然了。路由器目前在nat模式吧。

这种模式下，路由器后面的电脑只能单方向访问，只能路由器后面的电脑访问外面的，外面的电脑不能访问路由器后面的电脑，因为被隐藏了。如果要访问，看看你的tp-link有没有直通模式，也就是纯路由不做nat，不做地址转换。如果有的话，就可以互访。这是最方便的方法。如果tplink路由器没有这种模式，那就只能在tp上做静态映射了。

可以在手机设置中设置***，操作步骤如下：

1、在桌面中打开设置。

2、在设置中找到其他设置。

3、在设置中找到***设置。

4、点击添加***。

5、填写相关信息，点击完成即可。

补充：

1虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。

2***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

3***有多种分类方式，主要是按协议进行分类。***可通过服务器、硬件、软件等多种方式实现。

　　可以使用***

　　有两个方案：一个是硬件***方式，一个是软件pn方式。

　　一。硬件方式：

　　假设局域网2为服务器端，在局域网2的网关处放置***路由器，路由器的ip地址与本地的局域网ip地址位同网段，例如：19216801——1921680100,然后设置***路由器分配给远程的拨入用户的ip起始端，不能与本地的ip重复，例如1921680200——1921680250并在***路由器中添加远程拨入账号和密码。

　　局域网1可以采用系统自带的***连接进行连接到局域网2本地局域网ip不能与远程***分配的虚拟ip为同一网段，例如1921681100——1921680200，只有这样路由才可以正常寻址。

　　为了连接稳定和实时在线，建议局域网1也采用硬件的***路由器，这样可以省掉很多设置，只需在路由器中lan to lan中填入局域网2的ip地址或域名，然后填入授权的账号和密码即可，这样省掉了局域网1拨号的过程了。

　　2软件方式：

　　因为windows 2000 server以上的服务器版本都有软***的功能，所以可以自己架设，这样的话成本很低，但是稳定性稍差。软件***的配置如下：

　　二。***服务器的配置

　　***服务器端操作系统可以是WinNT 40/Win2000/WinXP/Win2003；相关组件为系统自带；要求***服务器已经连入Internet，并且拥有一个独立的公网IP。我选用在Windows 2000 Server（以下简称“Win2000”）中配置***服务器为例。

　　（1）依次进入“开始”→“程序”→“管理工具”→“路由和远程访问”打开“路由和远程访问”控制台。

　　（2）在左边框架中“SERVER（本地）”（“SERVER”为服务器名）处单击右键，选择“配置并启用路由和远程访问”打开“路由和远程访问安装向导”窗口。

　　（3）在“欢迎使用路由和远程访问安装向导”一步介绍本向导的作用。没有可以设置的选项，直接单击“下一步”按钮继续。

　　（4）在“公共设置”一步需要选择所相应的公共配置。默认选项为“Internet连接服务器”，需要改选为“虚拟专用网络（***）服务器”，然后单击“下一步”按钮继续。

　　（5）在“远程客户协议”一步显示的是当前***访问可使用协议的列表。默认选项为“是，所有可用的协议都在列表上”，不用修改，直接单击“下一步”按钮继续。

　　（6）在“Internet连接”一步需要指定服务器所使用的连接。默认选项为“无Internet连接”，不用修改，直接单击“下一步”按钮继续。

　　（7）在“IP地址”一步需要选择为远程***客户端指定IP地址的方法。默认选项为“自动”，由于本机没有配置DHCP服务器，因此需要改选为“来自一个指定的地址范围”，然后单击“下一步”按钮继续。

　　（8）在“地址范围指定”一步可以为***客户机指定所分配的IP地址范围。比如打算分配的IP地址范围为“1921680100”——“1921680200”，则单击“新建”按钮打开“新建地址范围”窗口，按提示输入后单击“确定”按钮返回“地址范围指定”一步，然后单击“下一步”按钮继续。

　　注意：这些IP地址将分配给***服务器和***客户机。为了确保连接后的***网络能同***服务器原有局域网正常通信，它们必须同***服务器的IP地址处在同一个网段中。即：假设***服务器IP地址为“19216801”，则此范围中的IP地址均应该以“1921680”开头。

　　（9）在“管理多个远程访问服务器”一步用于设置集中管理多个***服务器。默认选项为“不，我现在不想设置此服务器使用RADIUS”，不用修改，直接单击“下一步”按钮继续。

　　（10）在“正在完成路由和远程访问服务器安装向导”一步说明已经配置完成。没有可以设置的选项，直接单击“完成”按钮继续。

　　（11）此时屏幕上将出现一个名为“正在启动路由和远程访问服务”的小窗口，过一会儿将自动返回“路由和远程访问”控制台，出现如（图1）画面，即结束了***服务器的配置工作。

　　说明：此时“服务”控制台中的“Routing and Remote Access”服务已经“自动”处于“已启动”状态了；而在“网络和拨号连接”窗口中也会多出一个“传入的连接”图标。

　　2赋予用户拨入权限

　　默认的，包括Administrator用户在内的所有用户均被拒绝拨入到***服务器上，因此需要为相应用户赋予拨入权限。本文以“water”用户为例。

　　（1）在“我的电脑”处单击右键，选“管理”打开“计算机管理”控制台。

　　（2）在左边框架中依次展开“本地用户和组”→“用户”，在右边框架中双击“water”打开“water 属性”窗口。

　　（3）转到“拨入”选项卡，在“选择访问权限（拨入或***）”选项组下默认选项为“通过远程访问策略控制访问”，改选为“允许访问”，然后单击“确定”按钮返回“计算机管理”控制台，即结束了赋予“water”用户拨入权限的工作。

　　3***客户机（Win2000）的配置

　　***客户机端的操作系统可以是Win98/WinNT40/Win2000/WinXP/Win2003，相关组件均为系统自带，且要求***客户机已经连入Internet。我还是选择在Windows 2000 Server（以下简称“Win2000”）中配置***客户机为例。

　　（1）在“网上邻居”处单击右键，选“属性”打开“网络和拨号连接”窗口。

　　（2）双击“新建连接”图标打开“网络连接向导”窗口。

　　（3）在“欢迎使用路由和远程访问安装向导”一步介绍本向导的作用。没有可以设置的选项，直接单击“下一步”按钮继续。

　　（4）在“网络连接类型”一步可以选择所创建的网络连接类型。默认选项为“拨号到专用网络”，需要改选为“通过Internet连接到专用网络”，然后单击“下一步”按钮继续。

　　（5）在“公用网络”一步可以选择是否在***连接前自动拨号。默认选项为“自动拨此初始连接”，需要改选为“不拨初始连接”，然后单击“下一步”按钮继续。

　　（6）在“目标地址”一步需要提供***服务器的主机名或IP地址。在文本框中输入***服务器的公网IP，比如为“2188813548”，然后单击“下一步”按钮继续。

　　（7）在“可用连接”一步可以选择此连接仅允许当前客户机当前登录用户使用，还是可让客户机中所有用户使用。默认选项为“所有用户使用此连接”，根据需要进行选择，然后单击“下一步”按钮继续。

　　（8）在“完成网络连接向导”一步可以更改本新连接的名称。默认为“虚拟专用连接”，可不用修改，也可改为任意内容，比如为“到公司总部”，并勾选中“在我的桌面添加一快捷方式”复选框，然后单击“完成”按钮继续。

　　（9）之后会自动弹出名为“连接到公司总部”的连接窗口。在“用户名”处输入“water”（大小写不限），在“密码”处输入相应的密码，根据需要勾选中“保存密码”复选框，然后单击“连接”按钮继续。

　　注意：此处输入的用户名应为***服务器上已经建立好，并设置了具有拨入服务器权限的用户，密码也为其密码。

　　（10）连接成功之后可以看到，双方的任务栏右侧均会出现两个拨号网络成功运行的图标，其中一个是到Intenet的连接，另一个则是***的连接了！