路由器上的 IPsec 隧道设置

easy

位于互联网上的两个网络，可以通过两地的路由器之间创建 IPsec 隧道进行安全通讯。下面使用内网中的两台路由器模拟这一情况。

这里的路由器使用了 Windows Server 2008 R2 来担当，一个路由器上的 IP 配置为 192.168.1.128 和 192.168.2.7 ，另一个路由器的 IP 配置为 192.168.2.100 和 192.168.3.100 。
路由器的设置这里不再赘述，可参考本版内的相关帖子。

这两个路由器是独立服务器，并不位于域中，他们之间创建的 IPsec 隧道不能用 Kerberos V5 的验证方法，故此采用了预共享密钥(preshared key)的验证方法，但正如《 IPsec 中预共享密钥是怎么工作的》里说的那样，预共享密钥不能在生产环境中使用，而只用来做测试。有些书或资料上可能会说预共享密钥是以明文来传送的，这是它不安全的缘故。但我认为不对，预共享密钥以明文存储在本地注册表中，而不是以明文来传输，在传送过程中，仍然是以安全的 IKE 协商后用密钥来加密传输的，这一点可以通过抓包来观察到。


下面在两台路由器上配置防火墙规则，两者配置套路是一致的，只是填写 IP 等参数时不一样，所以下面只讨论在一台上的配置过程：


1. 打开防火墙，新建连接安全规则，在向导里选择 “隧道” ，然后单击“下一步”，如下图所示：



2. 在 “隧道类型” 中选择 “自定义配置”，然后单击下一步：



3. 在 “要求” 界面，选择 “入站和出站连接要求身份验证”，然后单击下一步：



4. 在“隧道终结点” 界面，单击 “终结点 1 中的计算机” 旁边的 “添加” 按钮，填入子网 IP ，这里是 192.168.1.0/24。这样做的目的是，192.168.1.0/24 通过该网关时，数据包会被网关封装到其隧道数据包中：




5. 仍然在 “隧道终结点” 界面，单击 “什么是本地隧道终结点（最近终结点 1 中的计算机）”旁边的 “编辑” 按钮，填入路由一侧 IP 192.168.2.7，这个地址就是本地隧道终结点：




6. 还是在 “隧道终结点” 界面，单击在 “什么是远程隧道终结点（最接近终结点 2 中的计算机）” 旁边的 “编辑”，填写另一个路由器一侧的 IP 地址 192.168.2.100 ：



7. 还是在  “隧道终结点” 界面，下拉，看到“终结点 2 中的计算机”，单击旁边的 “添加” 按钮，填入子网 IP ：


8. “隧道终结点” 界面中的配置完成，单击“下一步” 来到 “身份验证方法” 界面，选择 “高级”，单击 “自定义” 按钮：



9. 输入共享密钥，单击 “确定” 返回后单击 “下一步” 按钮：




10. 在何时应用规则时，方便起见，对 “域、专用网、公用网” 都勾选，然后单击 “下一步”：



11. 最后，该该条规则起个名字即可：