按公司要求在外面mail必須要撥入×××才能收取,同時要連到公司伺服器也必須×××。但收取mail的人,不一定有權限能連接配接到citrix伺服器。是以就建立了3個組,一個隻收取mail,一個隻能登入citrix,一個可以2個同時登入。 同時為了便于帳号管理。不能使用具有預共享密鑰的“組IKE ID”的方式來建立×××。 1.這樣建立帳号麻煩需要在cli下 用:exec ike preshare-gen ***_gw [email protected] 2.這樣建立過後别人可以比較容易導出配置檔案後,就有了×××權限。 3.比如user1離職後, [email protected]的帳号沒有辦法删除,隻能更改預共享種子密鑰,這樣顯得比較麻煩,改了過後整個組都要改動。 4.無法檢視現在已經存在的使用者。 是以就使用共享IKE ID方式來建立×××,可以比上面方法“預共享密鑰的組IKE ID”多一步使用者名密碼驗證。
一. 防火牆上配置1.
建立組IKE ID 使用者,并按要求分組。 1.1 建立center_***_g IKE組,可以撥2個***。mail和citrix User Name: center Objects>Users>Local ,new: Status: Enable IKE User: ( 選擇) Number of Multiple Logins with same ID: 25 (我們的防火牆最大隻支援25user,就算寫成50也會自己變成25的) Simple Identity: ( 選擇) IKE Identity: [email protected] Objects > User Groups > Local > New: 在 Group Name 字段中鍵入center_***_g,執 行以下操作,然後單擊
OK: 選擇 center,并使用 << 按鈕将其從 Available Members 欄移動到 Group Members 欄中。 1.2 建立mailer_***_g IKE組,可以撥入mail伺服器的××× Objects>Users>Local ,new: User Name: mailer Status: Enable IKE User: ( 選擇) Number of Multiple Logins with same ID: 25 Simple Identity: ( 選擇) IKE Identity: [email protected] (這個不一定也要同上一個組的@cent.sz這裡隻是友善記憶) Objects > User Groups > Local > New: 在 Group Name 字段中鍵入mailer_***_g,執 行以下操作,然後單擊
OK: 選擇 mailer,并使用 << 按鈕将其從 Available Members 欄移動到 Group Members 欄中。 1.3 建立citrixer_***_g IKE組,可以撥入citrix伺服器 Objects>Users>Local ,new: User Name: citrixer Status: Enable IKE User: ( 選擇) Number of Multiple Logins with same ID: 25 Simple Identity: ( 選擇) IKE Identity: [email protected] Objects > User Groups > Local > New: 在 Group Name 字段中鍵入citrixer_***_g,執 行以下操作,然後單擊
OK: 選擇 mailer,并使用 << 按鈕将其從 Available Members 欄移動到 Group Members 欄中。 User:清單
Name<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> | Type | Group | Status | Identity | Configure |
center | IKE | center_***_g | Enabled | [email protected] | In Use |
citrixer | IKE | citrixer_***_g | Enabled | [email protected] | In Use |
mailer | IKE | mailer_***_g | Enabled | [email protected] | In Use |
Group:清單:
Group Name | Group type | Members | Configure |
center_***_g | ike | center | Edit |
citrixer_***_g | ike | citrixer | Edit |
mailer_***_g | ike | mailer | Edit |
2.1建立可以撥2個***的使用者 Objects>Users>Local ,new: User Name: evan Status: Enable XAuth User ( 選擇),在後面輸入密碼 xxxxxx 建立IKE ID組 Objects > User Groups > Local > New: 在 Group Name 字段中鍵入mail_citrix_gp,執 行以下操作,然後單擊 OK: 選擇 evan,并使用 << 按鈕将其從 Available Members 欄移動到 Group Members 欄中。 要繼續添加别的使用者方法一樣 2.2建立可以撥mail的***使用者 Objects>Users>Local ,new: User Name: andy Status: Enable XAuth User ( 選擇),在後面輸入密碼 xxxxxx Objects > User Groups > Local > New: 在 Group Name 字段中鍵入mail _gp,執 行以下操作,然後單擊
OK: 選擇 andy,并使用 << 按鈕将其從 Available Members 欄移動到 Group Members 欄中。 2.3建立可以撥citrix的***使用者 Objects>Users>Local ,new: User Name: jack Status: Enable XAuth User ( 選擇),在後面輸入密碼 xxxxxx Objects > User Groups > Local > New: 在 Group Name 字段中鍵入citrix_gp,執 行以下操作,然後單擊
OK: 選擇 jack,并使用 << 按鈕将其從 Available Members 欄移動到 Group Members 欄中。 User:清單
Name | Type | Group | Status | Identity | Configure |
center | IKE | center_***_g | Enabled | [email protected] | In Use |
citrixer | IKE | citrixer_***_g | Enabled | [email protected] | In Use |
jack | XAuth | citrix_gp | Enabled | - | In Use |
mailer | IKE | mailer_***_g | Enabled | [email protected] | In Use |
Andy | XAuth | mail_gp | Enabled | - | In Use |
evan | XAuth | mail_citrix_gp | Enabled | - | In Use |
Group:清單
Group Name | Group type | Members | Configure |
center_***_g | ike | center | Edit |
citrix_gp | xauth | jack | Edit |
citrixer_***_g | ike | citrixer | Edit |
mail_citrix_gp | xauth | evan | Edit |
mail_gp | xauth | andy | Edit |
mailer_***_g | ike | mailer | Edit |
注意: 一旦×××完全建立好後,就不要輕易改變GW裡的設定,不然很可能導緻×××不可用。我改了一個不重要的地方keepalive Frequency值,儲存後,又改回去結果×××還是不可以用。現象是remote *** client彈出輸入使用者名密碼的時候是亂碼。開始以為是client軟體出了問題,解除安裝後重新安裝還是那樣,而且别的電腦上也這樣。最後把有關的政策、×××(Autokey ike)、Gateway删除重建才好,奇怪! 後來在網上找到×××s->AutoKey Advanced->Xauth->Allowed Authentication Type:改為Generic,但os5.0 5.4都沒有該設定。在5GT5.4的XAuth(位置:傳回基本 Gateway 配置頁,點XAuth)裡的确要選為Generic。在25B5.0裡沒有的選,而且預設還是chap打勾的。 A -nKg#~ 平時檢視配置後,也盡量别點return,而點
cance。 3.1建立能同時撥mail、citrix的×××的GW ×××s > AutoKey Advanced > Gateway > New: 輸入以下内容,然後單擊
OK: Gateway Name: center_gw Security Level: Compatible ( 選擇) Remote Gateway Type: Dialup Group ( 選擇), center_***_g Preshared Key: abcd1234 (必須要8位及以上,因為netscreen remote client 要求必須8位以上。) Outgoing Interface: ethernet3 (這個選擇你網絡的外網接口) > Advanced: 輸入以下内容,然後單擊
Return,傳回基本 Gateway 配置頁: Enable NAT-Traversal (選擇) UDP Checksum (選擇) Enable XAuth: ( 選擇) /有的版本是 XAuth Server (5GT的位置不在這裡,而是先傳回基本 Gateway 配置頁,點XAuth) Local Authentication: ( 選擇) User Group: ( 選擇) mail_citrix_gp 3.2建立撥mail的×××的GW ×××s > AutoKey Advanced > Gateway > New: 輸入以下内容,然後單擊
OK: Gateway Name: mailer_gw Security Level: Compatible ( 選擇) Remote Gateway Type: Dialup Group ( 選擇), mailer_***_g Preshared Key: abcd1234 (這裡可以設定和上面的一樣,主要是友善自己維護,為了安全最好設定成不一樣的) Outgoing Interface: ethernet3 (這個選擇你網絡的外網接口) > Advanced: 輸入以下内容,然後單擊
Return,傳回基本 Gateway 配置頁: Enable NAT-Traversal (選擇) UDP Checksum (選擇) Enable XAuth: ( 選擇) /有的版本是 XAuth Server Local Authentication: ( 選擇) User Group: ( 選擇) mail_ gp 3.3建立撥citrix的×××的GW ×××s > AutoKey Advanced > Gateway > New: 輸入以下内容,然後單擊
OK: Gateway Name: citrixer_gw Security Level: Compatible ( 選擇) Remote Gateway Type: Dialup Group ( 選擇), citrixer_***_g Preshared Key: abcd1234 Outgoing Interface: ethernet3 (這個選擇你網絡的外網接口) > Advanced: 輸入以下内容,然後單擊
Return,傳回基本 Gateway 配置頁: Enable NAT-Traversal (選擇) UDP Checksum (選擇) Enable XAuth: ( 選擇) /有的版本是 XAuth Server Local Authentication: ( 選擇) User Group: ( 選擇) citrix_ gp Gateway 清單:
Name | Type | Address/ID/User Group | Local ID | Security Level | Configure | |
center_gw | Dialup | center_***_g | - | Compatible | Edit | - |
citrix_gw | Dialup | citrixer_***_g | - | Compatible | Edit | - |
mail_gw | Dialup | mailer_***_g | - | Compatible | Edit | - |
4.1建立可以mail、citrix的××× ×××s > AutoKey IKE > New: 輸入以下内容,然後單擊
OK: ××× Name: center_*** Security Level: Compatible Remote Gateway: Predefined: ( 選擇) center_gw > Advanced: 輸入以下進階設定,然後單擊
Return,傳回基本 AutoKey IKE 配置頁: Bind to: Tunnel Zone, Untrust-Tun 4.2建立可以到mail的××× ×××s > AutoKey IKE > New: 輸入以下内容,然後單擊
OK: ××× Name: mailer_*** Security Level: Compatible Remote Gateway: Predefined: ( 選擇) mail_gw > Advanced: 輸入以下進階設定,然後單擊
Return,傳回基本 AutoKey IKE 配置頁: Bind to: Tunnel Zone, Untrust-Tun 4.3建立可以到citrix的××× ×××s > AutoKey IKE > New: 輸入以下内容,然後單擊
OK: ××× Name: citrixer_*** Security Level: Compatible Remote Gateway: Predefined: ( 選擇) citrix_gw > Advanced: 輸入以下進階設定,然後單擊
Return,傳回基本 AutoKey IKE 配置頁: Bind to: Tunnel Zone, Untrust-Tun ×××清單:
Name | Gateway | Security | Monitor | Configure | |
center_*** | center_gw | Compatible | Off | Edit | - |
citrixer_*** | citrix_gw | Compatible | Off | Edit | - |
mailer_*** | mail_gw | Compatible | Off | Edit |
5.1建立center_***的policies (2條,一條到mail,一條到citrix。就算mail和citrix都在同一個zone也不能選擇Multiple而加入2個位址) 5.1.1建立到mail的 Policies > (From: Untrust, To: DMZ) New: 輸入以下内容,然後單擊
OK: Source Address: Address Book Entry: ( 選擇), Dial-Up ××× Destination Address: Address Book Entry: ( 選擇), 192.168.25.7/32 Service: Multiple (MAIL,POP3,PING) Action: Tunnel Tunnel ×××: center_*** Modify matching bidirectional ××× policy: ( 清除) Position at Top: ( 選擇) 5.1.2建立到citrix的 Policies > (From: Untrust, To: Trust) New: 輸入以下内容,然後單擊
OK: Source Address: Address Book Entry: ( 選擇), Dial-Up ××× Destination Address: Address Book Entry: ( 選擇), 10.10.25.2/32 Service: Multiple (CITRIX,HTTP,PING) Action: Tunnel Tunnel ×××: center_*** Modify matching bidirectional ××× policy: ( 清除) Position at Top: ( 選擇) 5.2建立mailer_***的policy (隻讓到mail) Policies > (From: Untrust, To: DMZ) New: 輸入以下内容,然後單擊
OK: Source Address: Address Book Entry: ( 選擇), Dial-Up ××× Destination Address: Address Book Entry: ( 選擇), 192.168.25.7/32 Service: Multiple (MAIL,POP3,PING) Action: Tunnel Tunnel ×××: mailer_*** Modify matching bidirectional ××× policy: ( 清除) Position at Top: ( 選擇) 5.3建立citrixer_***的policy (隻讓到citrix) Policies > (From: Untrust, To: Trust) New: 輸入以下内容,然後單擊
OK: Source Address: Address Book Entry: ( 選擇), Dial-Up ××× Destination Address: Address Book Entry: ( 選擇), 10.10.25.2/32 Service: Multiple (CITRIX,HTTP,PING) Action: Tunnel Tunnel ×××: citrixer_*** Modify matching bidirectional ××× policy: ( 清除) Position at Top: ( 選擇) 至此防火牆上配置全部完成。 ***,gw ,ikeid等的對應關系
Name | Gateway | IKE ID group | IKE ID | XAuth group |
center_*** | center_gw | center_***_g | [email protected] | mail_citrix_gp |
citrixer_*** | citrix_gw | citrixer_***_g | [email protected] | Citrix_gp |
mailer_*** | mail_gw | mailer_***_g | [email protected] | mail_gp |
1. 單擊
Options > Secure > Specified Connections。 2. 單擊
Add a new connection,在出現的新連接配接圖示旁鍵入
to mailserver。 3. 配置連接配接選項: Connection Security: Secure Remote Party ID Type: IP Address IP Address: 192.168.25.7 Connect using Secure Gateway Tunnel: ( 選擇) ID Type: IP Address; 218.xxx.xxx.xxx 可以看情況是否勾選 .ly connect manually,這個的主要作用是當回到公司如果忘了禁用本軟體,它也不會改變路由表。但如果連接配接逾時後,就必須手動在輸入使用者名密碼重新連接配接。
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsIyZwpmLjZmQDlzM4YzM0IzMyEzX3MTOwQjNvwFMy8CXxATOwAjMvwFduVWboNWY0RXYvwVbvNmLvR3YxUjLxM3Lc9CX6MHc0RHaiojIsJye.jpg)
4. 單擊位于 web1 圖示左邊的加号,展開連接配接政策。 5. 單擊
Security Policy圖示,然後選擇
Aggressive Mode并清除
Enable Perfect Forward Secrecy (PFS)。 6. 單擊
My Identity: select選擇
None,單擊
Pre-shared Key>
Enter Key: 鍵入
abcd1234,然後單擊
OK。 ID Type: ( 選擇
E-mail Address),然後鍵入
[email protected]7. 單擊 Security Policy 圖示左邊的加号,然後單擊 Authentication (Phase 1) 和Key Exchange (Phase 2) 左邊的加号,進一步展開政策。 8. 單擊
Authentication (Phase 1)>
Proposal 1: 選擇下列“加密”和“資料完整 性算法”: Authentication Method: Pre-Shared Key; Extended Authentication Encrypt Alg: Triple DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2 9. 單擊
Authentication (Phase 1)>
Create New Proposal: 選擇以下 IPSec 協定: Authentication Method: Pre-Shared Key; Extended Authentication Encrypt Alg: Triple DES Hash Alg: MD5 Key Group: Diffie-Hellman Group 2 10. 單擊
Authentication (Phase 1)>
Create New Proposal: 選擇以下 IPSec 協定: Authentication Method: Pre-Shared Key; Extended Authentication Encrypt Alg: DES Hash Alg: SHA-1 Key Group: Diffie-Hellman Group 2 11. 單擊
Authentication (Phase 1)>
Create New Proposal: 選擇以下 IPSec 協定: Authentication Method: Pre-Shared Key; Extended Authentication Encrypt Alg: DES Hash Alg: MD5 Key Group: Diffie-Hellman Group 2 12. 單擊
Key Exchange (Phase 2)>
Proposal 1: 選擇以下 IPSec 協定: Encapsulation Protocol (ESP): ( 選擇) Encrypt Alg: Triple DES Hash Alg: SHA-1 Encapsulation: Tunnel 13. 單擊
Key Exchange (Phase 2)>
Create New Proposal: 選擇以下 IPSec 協定: Encapsulation Protocol (ESP): ( 選擇) Encrypt Alg: Triple DES Hash Alg: MD5 Encapsulation: Tunnel 14. 單擊
Key Exchange (Phase 2)>
Create New Proposal: 選擇以下 IPSec 協定: Encapsulation Protocol (ESP): ( 選擇) Encrypt Alg: DES Hash Alg: SHA-1 Encapsulation: Tunnel 15. 單擊
Key Exchange (Phase 2)>
Create New Proposal: 選擇以下 IPSec 協定: Encapsulation Protocol (ESP): ( 選擇) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel 16. 單擊
File > Save Changes。 附: 要撥入citrix隻需要COPY 上面的設定就可以了。把第3步裡的 192.168.25.7改為10.10.25.2就可以了。 最後把該配置檔案導出為 to all.spd 如果隻是要撥入mail伺服器的,隻需要把第6步裡的
[email protected] 改為 [email protected]就可以了。(前面把Preshared Key都設定為abcd1234,是以就别的就不用改了),把該配置導出為 to mail.spd 如果隻是要撥入citrix伺服器的,需要把第3步裡的192.168.25.7改為10.10.25.2,把第6步裡的
[email protected] 改為 [email protected]就可以了,把該配置導出為 to citrix.spd 如果有使用者的權限改變了,比如從mail組變成了citrix組,使用者端隻需把以前配置檔案裡的 [email protected] 改為 [email protected] 就可以。
轉載于:https://blog.51cto.com/canidosh/127419