在ISA Server 2004防火墙和D-link DI-804HV IPSec VPN路由器间启用IPSec站点到站点的隧道

出处：ISAServer.org 作者：Tiago 时间：2004-8-9 13:13:00

译自Tiago de Aviz，“Establishing an IPSec site-to-site tunnel betweenan ISA 2004 Firewall and a D-Link DI-804HV IPSec VPN Router”，有部分修改
这个周末我通过配置一个D-link的DI-804HV VPN路由器使用IPSec
site-to-site隧道的形式从分公司连接到了公司的ISA防火墙上。这个D-link路由器非常便宜，并且很容易配置，它可以作为一个简单的防火墙，同样的，它允许进入的PPTP和L2TP/IPSec远程VPN连接。
实验环境如下：

　

ISA部分:

首先，你得确认你的内部网络地址集中包含了整个内部网络。这是非常重要的，因为IPSec策略必须在建立连接的两边都要匹配，否则，连接不会建立。打开你内部网络的属性，如下图：

这个内部网络范围必须包含你整个子网。剩下的就很简单了。
建立一个新的远程站点网络，命名为“Branch Office”：

选择IPSec隧道模式，

输入D-link路由器的外部IP作为远程VPN网关的IP，然后选择ISA Server的外部IP作为本地VPN网关的IP，

在认证页，我们选择预定义的密钥，因为D-link路由器只支持这个:)，

点击Next，在下一个屏幕中，加入远程VPN网络的地址集：

结果如下：

最后点击Finish。

现在我们需要建立一个网络规则，命令为“Branch Office”：

选择“Branch Office”作为它的源网络；

选择后的源网络如下：

选择内部网络作为目的网络，

选择后的目的网络如下：

来路由关系上，选择“Route”，

在完成这个向导后，我们需要建立一个访问策略来允许分公司访问总部的网络，新建一个策略，命名为“Allow Traffic
from Branch Office”，

规则动作选择“Allow”，

协议选择“All outbound traffic”，

这个地方，你可以限制分公司可以访问的服务。
然后，在源网络中，选择“Branch Office”，

选择后的源网络如下：

在目的网络上选择“Internal”，

选择后的目的网络如下：

用户集选择“All Users”，同样，你可以在此对分公司的用户进行限制。

点击完成后，ISA部分的设置就完成了。下面我们来设置D-link部分。
D-Link VPN路由器部分

首先，进入D-link VPN路由器的管理界面，我是使用的静态IP，如下图：

点击“Home”，再点击“VPN”。启用VPN，然后为你的隧道设置一个名字，这个VPN路由器最大可以同时支持50个隧道！

点击“More”，进入隧道的设置，如下图，和ISA Server上的设置相反（注意：图上有误，Local
Subnet应该是10.1.0.0），预定义密钥和ISA Server上设置的一样，点击Apply；

然后我们选择IKE设置，点击“Select IKE Proposal”，如下图。在这儿，我们建立两个具有不同生存周期的IKE状态：

同样的，在IPSec Proposal里面，我们建立对应的IPSec状态，如下图，点击Apply

现在我们可以ping公司总部的网络，测试这个IPSec site-to-site VPN的连通性，

连接是正常的。
如果你点击VPN Status，你可以观察到VPN的连接状态。

最后，请你记住，IPSec可以通过NAT设备，还有本地和远程网络在VPN的两端必须保持一致。
, , ,