apple android手机客户端配置指南.pdfVIP

拓扑环境如下：

无线路由器的WAN口是连在/24网段，LAN口为/24网段，IPHONE

接入WIFI，然后使用自带的客户端拨号到VENUSFW，FW后面的资源。

先来看看FW上的配置：

配置思路：

1.准备好地址对象，和用于扩展认证的用户组。

2.IKE阶段参数的配置

3.IPSEC阶段参数的配置

4.建立FW安全策略，在动作中IPSEC通道。

（注意：一定要配出口路由！）

配置详细过程：

1.准备工作：

建立用户名和信息

将用户加入到新建的组（IKE策略中会这个组）：

建立地址对象（后面的安全策略会用到）

2.IKE参数的配置

先前建立的用户组

下发给客户端的IP地址，一

定使用服务器PULL！

下发给客户端的IP地址，是用于IPSEC通信时候使用的，不要和公司内网的IP段了.

3.二阶段IPSEC参数的配置：

点这个地方，新建二阶

段IPSEC的配置

配置截图：AH封装为空

4.建立安全策略：

源选择内网接口，地址名一定要使用any！（Apple客户端没有配置对端网络的选项，认为对

方是any，所以只有配置any才能协商起来。）目的接口选择出接口，目的地址为IKE中配置

的下发地址端。动作选择IPSEC，勾上流入流出即可。

提交后够上启用。

客户端的配置截图：

设置→通用→网络→→添加配置

注意直接选择IPSEC。

服务器即FWIPSEC网关的IP地址，账户填的是对象管理里建立的认证用户。

群组名称一定要为空！

密钥即网关上的预共享密钥。

拨号成功后截图：

L2TP的配置

对于Android系统的，目前天青汗马FW只支持单独的L2TP接入。下面是配置过程：

1.建立L2TP（例子中下发的地址段为/24，请建立相关地址对象。这个地址是

下发给客户端的使用的虚拟地址）

用户组用于L2TP的认证，点击拨号时，弹出用户名和的输入框，指的就是它们了。

2.在接口上开启L2TP

3.建立放通的安全策略：

设备的出接口

下发给客户端的地址段

设备的内网口