GlobalVPNClient_4.10_AdminGuide

Transcription

1 SonicWall Global VPN Client 4.10 管理指南

2 版权所有 2017 SonicWall Inc. 保留所有权利 SonicWall 是 SonicWall Inc. 和 / 或其附属公司在美国和 / 或其他国家 / 地区的商标或注册商标 所有其他商标和注册商标均为其各自所有者的财产 本文档中的信息与 SonicWall Inc. 和 / 或其附属公司的产品一起提供 本文档不授予任何知识产权的许可 ( 明示或暗示, 通过禁言或其他形式 ) 此类许可与 SonicWall 产品的销售无关 除了本产品的许可协议中规定的条款与条件,SonicWall 和 / 或其附属公司不承担有关其产品的任何责任和任何明确 暗示或法定的担保, 包括但不限于暗示的适销性 适用于某一特定用途或不侵权的担保 在任何情况下, 即使已告知 SonicWall 和 / 或其附属公司发生此类损害的可能性,SonicWall 和 / 或其附属公司都不对由于停止使用或无法使用本文档而产生的任何直接的 间接的 继发的 惩罚性的 特殊的或偶然的损害 ( 包括但不限于利润损失, 业务中断或信息丢失的损失 ) 承担任何责任 SonicWall 和 / 或其附属公司对本文档内容的准确性或完整性不作任何陈述或保证, 并保留随时更改规格和产品说明的权利, 恕不另行通知 SonicWall Inc. 和 / 或其附属公司不作任何承诺更新本文档中包含的信息 如需获取更多信息, 请访问 图例 警告 : 警告 图标用来提示可能造成财产损失或人员伤亡的情况 小心 : 小心 图标用来提示如不按照相应说明进行操作, 可能引起硬件损坏或数据丢失 重要提示 注意 提示 手机或视频 : 信息图标表示支持的信息 Global VPN Client 管理指南更新日期 年 5 月软件版本 修订版 A

3 目录 1 Global VPN Client 简介 Global VPN Client 概述 Global VPN Client 功能 Global VPN Client 企业 关于本指南 文本惯例 消息图标 Global VPN Client 入门指南 安装 Global VPN Client 使用设置向导 从之前版本升级 Global VPN Client 安装命令行选项 启动 Global VPN Client 指定 Global VPN Client 启动选项 管理 Global VPN Client 系统托盘图标 添加 VPN 连接 了解 VPN 连接 使用新建连接向导创建 VPN 连接 导入 VPN 配置文件 从其他工作站使用 Global VPN Client 解决方法 强制创建新的本地缓存配置文件 执行 VPN 连接 概述 访问冗余 VPN 网关 启用 VPN 连接 建立多个连接 输入预共享密钥 选择证书 提供用户名和密码验证 创建连接快捷方式 连接警告 配置 VPN 连接属性 显示连接属性对话框 连接属性常规设置 连接属性用户验证设置 连接属性对等设置 SonicWall Global VPN Client 4.10 管理员指南目录 3

4 对等信息对话框 连接属性状态设置 管理 VPN 连接 有关 VPN 连接 排列连接 重命名连接 删除连接 选择所有连接 查看 VPN 连接的状态 禁用 VPN 连接 使用证书 获取配置信息 管理证书 Global VPN Client 故障排除 故障排除工具 了解 Global VPN Client 日志 打开日志查看器窗口 保存当前日志 管理日志消息 配置日志 配置自动记录 生成帮助报告 SonicWall Global VPN Client 访问技术支持 查看帮助主题 安装 Global VPN Client 配置 SonicWall 设备使用 Global VPN Client 关于 GroupVPN 策略 Global VPN Client 许可证 平台支持的群组 VPN 连接数 激活 Global VPN Client 下载 Global VPN Client 软件和文档 使用 default.rcf 文件 关于 default.rcf 文件 Global VPN Client 如何使用 default.rcf 部署 default.rcf 文件 在 MSI 安装程序中关联 default.rcf 文件 将 default.rcf 文件添加到安装目录 用 default.rcf 文件替换现有.rcf 文件 创建 default.rcf 文件 SonicWall Global VPN Client 4.10 管理员指南目录 4

5 default.rcf 文件标签说明 default.rcf 示例文件 排除 default.rcf 文件故障 使用 Global VPN Client CLI 关于 Global VPN Client CLI 命令行选项 命令行示例 日志查看器消息 错误消息 信息消息 警告消息 亚太地区 SonicWall 最终用户产品协议 SonicWall 支持 SonicWall Global VPN Client 4.10 管理员指南目录 5

6 1 Global VPN Client 简介 第 6 页的 Global VPN Client 概述 第 6 页的 Global VPN Client 功能 第 8 页的 Global VPN Client 企业 第 8 页的关于本指南 第 8 页的文本惯例 第 9 页的消息图标 Global VPN Client 概述 SonicWall Global VPN Client 在您的计算机与企业网络之间创建虚拟专用网 (VPN) 连接, 以维护私有数据的机密性 Global VPN Client 为远程用户提供提供了简单易用的解决方案加密互联网访问 Global VPN Client 由 SonicWall 定制开发, 通过在 SonicWall 互联网安全设备中结合 GroupVPN, 显著简化了 VPN 的部署和管理 利用 SonicWall 的 VPN Client Policy Provisioning (VPN Client 策略控制 ) 技术,SonicOS 管理员可以为 Global VPN Client 建立 VPN 连接策略 VPN 配置数据将以透明的方式从 SonicWall VPN 网关 (SonicWall 互联网安全设备 ) 下载至 Global VPN Client, 使用户无需配置 VPN 连接 如需配置您的 SonicWall 安全设备以支持使用 SonicOS GroupVPN 的 Global VPN Client, 请参见 SonicOS 管理指南, 获取在 SonicWall 安全设备 (VPN 网关设备 ) 上运行的固件版本信息 主题 : 第 6 页的 Global VPN Client 功能 第 8 页的 Global VPN Client 企业 Global VPN Client 功能 SonicWall Global VPN Client 提供了稳固的 IPsec VPN 解决方案, 特点如下 : 简单易用 - 提供可用于快速安装产品的方便直观的安装向导, 通过指向 - 点击操作即可激活 VPN 连接的方便直观的配置向导, 以及可最大限度减少支持需求的精简型管理工具 多语言支持 - Global VPN Client 用户界面支持英语 简体中文 日语 韩语和巴西葡萄牙语 UI 自动显示为 Windows 显示语言 客户端策略控制 - 仅使用 SonicWall VPN 网关的 IP 地址或完全限定域名 (FQDN) 即可自动通过安全的 IPsec 隧道从 SonicWall VPN 网关下载 VPN 配置数据, 使远程用户无需配置 VPN 连接 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 简介 6

7 使用 RADIUS 进行 XAUTH 验证 - 在通过 RADIUS 服务器验证客户端之后, 使用用户验证提供额外的安全保护 VPN 会话可靠性 - 在 SonicWall VPN 网关发生故障时, 允许进行自动重定向 如果某个 SonicWall VPN 网关断开,Global VPN Client 可以通过另一个 SonicWall VPN 网关继续运行 多子网支持 - 在配置中允许 Global VPN Client 连接多个子网, 以提高联网灵活性 第三方证书支持 - 支持 VeriSign Entrust Microsoft 和 Netscape 认证中心 (CA) 以增强用户验证 Tunnel All 支持 - 通过阻止未定向到 VPN 隧道的所有流量, 防止 Internet 攻击通过 VPN 连接进入企业网络, 提供增强的安全性 VPN 上的 DHCP 支持 - 允许跨企业网络 VPN 隧道配置 IP 地址, 同时允许 WAN DHCP 从 ISP 访问 Internet 安全的 VPN 配置 - 对用户锁定重要的 Global VPN Client 配置信息, 以防止篡改 AES 和 3DES 加密 - 支持 168 位密钥的 3DES( 数据加密标准 ) 和 AES( 高级加密标准 ), 以获得增强的安全性 AES 要求在 SonicWall VPN 网关设备上运行 SonicOS 2.0 或更高版本 GMS 管理 - 允许使用 Global VPN Client 一流的全局管理系统 (GMS) 来管理 SonicWall 连接 多平台客户端支持 - 支持 32 位和 64 位版本的 Windows:Windows 10 Windows 8 Windows 8.1 和 Windows 7 NAT 穿越 - 启用从任何执行 NAT( 网络地址转换 ) 的设备后端发起 Global VPN Client 连接的功能 SonicWall Global VPN Client 对 IPsec VPN 流量进行封装并通过广泛部署的 NAT 设备进行传输 利用这些 NAT 设备, 本地网络可以使用一个外部 IP 地址访问整个网络 出错时自动重新连接 - 允许 Global VPN Client 与对端连接出现问题时持续重连 通过此功能,Global VPN Client 可以自动连接暂时禁用的 SonicWall VPN 网关, 而无需手动介入 面向大规模安装的 Ghost 安装 - 使 Global VPN Client 的虚拟适配器能够在安装后获得自己的默认地址, 然后创建 ghost 映像 NT 域登录脚本支持 - 允许 Global VPN Client 在建立安全的 IPsec 隧道后执行 Windows NT 域验证 SonicWall VPN 网关将登录脚本包含在 Global VPN Client 配置中进行传递 通过此功能,VPN 用户可以访问映射的网络驱动器及其他网络服务 双处理器支持 - 使 Global VPN Client 能够在双处理器计算机上工作 组策略管理 - 可以自定义 Global VPN Client 访问并将其限制为特定的子网访问 ( 需要 SonicOS 增强版 ) 轴幅式 VPN 访问 - 允许从 SonicWall VPN 网关的 DHCP 服务器到 Global VPN Client 的 IP 寻址, 从而为所有远程 Global VPN Client 配置不同于 LAN 子网的其他子网 这简化了轴幅式 VPN 访问 当 Global VPN Client 成功地与中央站点完成验证时, 它将收到一个虚拟 IP 地址, 该地址也授予了它对其他受信任的 VPN 站点的访问权限 默认 VPN 连接文件 - 使 SonicOS 管理员能够使用 Global VPN Client 软件来配置和分配企业 VPN 连接, 从而简化了 VPN Client 的部署 实现单一 VPN 连接到任何 SonicWall 安全无线设备的漫游 - 允许用户使用单一 VPN 连接来访问多个 SonicWall 安全无线设备构成的网络 从 DNS 自动配置冗余网关 - 将 IPsec 网关域名解析为多个 IP 地址时,Global VPN Client 将使用列表中的 IP 地址作为故障切换网关 隧道状态显示增强 - Global VPN Client 提供关于 VPN 隧道状态的信息 除了显示 启用 禁用 和 已连接 状态外,Global VPN Client 还能指示隧道的 正在验证 正在设置 和 正在连接 等状态 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 简介 7

8 隧道状态弹出窗口 Global VPN Client 可以在隧道连接和断开连接时显示较小的弹出窗口以提醒用户 智能卡和 USB 令牌验证 - Global VPN Client 与 Microsoft 密码应用程序 (MS CryptoAPI 或 MSCAPI) 相集成, 使 Global VPN Client 能够支持使用智能卡和 USB 令牌中的数字证书进行用户验证 NAT-T RFC 3947 支持 - 允许在 IKE 阶段 1 协商期间沿两个 IKE 对等之间的路径自动检测 NAT 在中间检测到 NAT 时, 使用端口 4500 对数据包进行 UDP 封装 DNS 重定向 - 不在物理适配器上发送针对虚拟适配器所关联的 DNS 后缀的 DNS 查询 Tunnel All 支持增强 - 提供将透明流量路由至直接连接的网络接口的功能 这些网络接口通常在 WLAN 区域中使用, 通过 全路由策略 配置 在建立 VPN 连接时自动启动程序 - 在按照连接属性对话框中指定的配置成功建立 VPN 连接时, 使用可选的参数自动启动某个程序 Global VPN Client 企业 Global VPN Client 企业版除了增加许可证共享功能以外, 其他功能与 Global VPN Client 相同 关于本指南 SonicWall Global VPN Client 管理员指南 提供了有关安装 配置和管理 SonicWall Global VPN Client 的全套文档 此外, 本指南还提供了 SonicWall Global VPN Client 企业版的说明信息 如需配置您的 SonicWall 安全设备以支持使用 SonicOS GroupVPN 的 Global VPN Client, 请参见 SonicOS 管理指南, 获取在 SonicWall 安全设备 (VPN 网关设备 ) 上运行的固件版本信息 主题 : 第 8 页的文本惯例 第 9 页的消息图标 文本惯例 约定粗体菜单项 > 菜单项界面文字 用途 高亮显示您在 Global VPN Client 界面或 SonicOS 管理界面中选择的项目 指示多步骤菜单选项 例如, 选择文件 > 打开 表示 选择文件菜单, 然后打开文件菜单中的打开菜单项 指示您会在电脑屏幕上看到或要在命令行中输入的文字 例如,myDevice> show alerts SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 简介 8

9 消息图标 这些特殊的消息引用值得注意的信息, 并包括方便快速识别的符号 : 警告 : 用来指示可能造成财产损失或人员伤亡的重要警告信息 小心 : 关于影响到防火墙性能 安全功能或导致 SonicWall 设备出现潜在问题的功能的重要警告信息 提示 : 关于 SonicWall 设备的安全功能和配置的有用信息 重要提示 : 关于需要特别注意的功能的重要信息 注 : 关于功能的支持信息 手机 : 关于适用于 SonicWall 设备的手机应用的有用信息 视频 : 包含有关 SonicWall 设备功能的更多信息的视频链接 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 简介 9

10 Global VPN Client 入门指南 2 第 10 页的安装 Global VPN Client 第 14 页的从之前版本升级 Global VPN Client 第 14 页的安装命令行选项 第 14 页的启动 Global VPN Client 第 16 页的指定 Global VPN Client 启动选项 第 17 页的管理 Global VPN Client 系统托盘图标本章节提供关于安装 升级和启动 SonicWall Global VPN Client 的信息 安装 Global VPN Client SonicWall Global VPN Client 使用简便易用的向导来指导您完成安装过程 注 : 安装 Global VPN Client 需要管理员权限 SonicWall Global VPN Client 可在 32 位和 64 位版本的 Windows 10 Windows 8.1 Windows 8 和 Windows 7 客户端操作系统上运行 所有运行 Gen5(5.0 及更高版本 ) 和 Gen6(6.1 及更高版本 )SonicOS 固件版本的 SonicWall 安全设备都支持 Global VPN Client 注 : 如需您的 SonicWall 设备及其 Global VPN Client 许可所支持的 SonicWall Global VPN Client 连接数的相关信息, 请参见第 48 页的 Global VPN Client 许可证 使用设置向导 本章节说明使用设置向导来安装 SonicWall Global VPN Client 程序的方法 重要提示 : 在安装最新的 SonicWall Global VPN Client 之前, 请先删除任何已安装的第三方 VPN Client 程序 如果您已安装 SonicWall Global VPN Client, 则必须先卸载它才能安装 4.10.x 版本 使用设置向导的步骤如下 : 1 从 MySonicWall 下载自解压安装程序 GVCSetupXX.exe( 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64) SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 入门指南 10

11 2 双击 GVCSetupXX.exe 启动设置向导 3 单击下一步继续安装 VPN Client 将显示许可证协议页面 4 选择同意单选按钮 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 入门指南 11

12 5 单击下一步 将显示选择安装文件夹页面 6 如需指定自定义安装位置, 请单击浏览 a 选择该位置 b 单击确定 7 ( 可选 ) 单击磁盘开销按钮查看磁盘空间要求 8 在为您自己还是为使用此计算机的任何人安装 SonicWall Global VPN Client 下面选择任何人或只有我 9 单击下一步 下一页指示安装程序已准备好开始安装 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 入门指南 12

13 10 单击下一步 将显示正在安装 Global VPN Client 页面, 其中指示了安装状态 11 等待 SonicWall Global VPN Client 文件安装到您的计算机上 安装完成后, 将显示已成功安装 Global VPN Client 页面 12 单击关闭退出向导 成功安装后, 接下来发生什么取决于您是否已保存连接 : 如果您在卸载之前版本的 SonicWall Global VPN Client 时保存了其连接配置, 则 Global VPN Client 启动, 并且您的默认连接会提示您输入登录凭据 如果没有之前的连接, 则将自动启动新建连接向导 此向导仅在 Global VPN Client 首次启动时显示 如需更多信息, 请参见第 19 页的使用新建连接向导创建 VPN 连接 提示 : 您可以在视图 > 选项页面的常规选项卡中将 Global VPN Client 配置为在您每次登录计算机时自动启动 有关更多信息, 请参见第 16 页的指定 Global VPN Client 启动选项 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 入门指南 13

14 从之前版本升级 Global VPN Client 不支持从先前版本升级 如果已安装 或更低版本的 SonicWall Global VPN Client, 则必须先卸载该版本并重启 PC 才能安装 4.10.x 版本 4.10.x 安装程序不允许从较低版本升级 安装命令行选项 如需安装 SonicWall Global VPN Client, 可使用以下命令行选项 所有选项都不区分大小写, 并且必须使用斜杠 (/) 开头 : /Q 静默模式 正常 ( 非静默 ) 的 SonicWall Global VPN Client 安装会以响应对话框的方式接收必要的用户输入信息 但静默安装不提示用户提供任何输入信息, 而是使用每个选项的默认值 只需输入以下命令即可, 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64: GVCSetupXX.exe /q /T 指定用于放置在安装过程中生成的所有临时文件的临时工作文件夹 T 选项后面必须跟随冒号 (:) 以及想要使用的文件夹的完整路径 例如, 输入以下命令 : GVCSetupXX.exe /t:c:\temporaryfiles /C 将从安装包中提取的所有文件 (MSI 安装程序文件 ) 放入 T 选项中指定的文件夹 C 选项只有在与 T 选项配合使用时才有效 例如, 输入以下命令之一 : GVCSetupXX.exe /c /t:c:\temporaryfiles GVCSetupXX.exe /T:C:\TemporaryFiles /c 启动 Global VPN Client 启动 SonicWall Global VPN Client 的步骤如下 : 1 选择开始 > 程序 > Global VPN Client SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 入门指南 14

15 2 您可以执行以下任何操作 : 如需关闭 Global VPN Client 对话框, 但是保持已建立的 VPN 连接, 请单击 X, 然后按下 Alt+F4 或选择文件 > 关闭 随即显示消息, 通知您在关闭对话之后,Global VPN Client 程序及所有已启用的连接都将保持有效状态 如果不想每次关闭 Global VPN Client 对话框时都显示此通知消息, 请 : a) 选择以后不再显示复选框 b) 单击确定 打开 Global VPN Client 对话框的步骤如下 : 双击系统托盘中的 Global VPN Client 图标 右键单击该图标, 然后选择打开 Global VPN Client 小心 : 通过系统托盘图标菜单退出 SonicWall Global VPN Client 将会禁用所有有效的 VPN 连接 提示 : 您可以 : 更改 SonicWall Global VPN Client 的默认启动设置 更多信息, 请参见第 16 页的指定 Global VPN Client 启动选项 创建快捷方式, 以便从桌面 任务栏或开始菜单自动启动 Global VPN Client 对话和执行 VPN 连接 如需更多信息, 请参见第 48 页的 Global VPN Client 许可证 从命令行启动 Global VPN Client 更多信息, 请参见第 58 页的使用 Global VPN Client CLI SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 入门指南 15

16 指定 Global VPN Client 启动选项 您可以使用选项对话框常规选项卡中的控件来指定 SonicWall Global VPN Client 的启动方式以及所显示的通知窗口 选择视图 > 选项以显示选项对话框 常规选项卡包含下列用于控制 Global VPN Client 启动的设置 : 登录时启动此程序 - 在您登录计算机时启动 SonicWall Global VPN Client 在启用该连接阻止 Internet 流量前警告我 激活连接警告消息, 以通知您 VPN 连接将阻止本地 Internet 和网络流量 下次启动程序时记住上次的窗口状态 ( 关闭或打开 )- 允许 Global VPN Client 在程序下次启动时记住上次的窗口状态 ( 打开或关闭 ) 例如, 用户可以从系统托盘启动 Global VPN Client, 而无需在桌面上打开窗口 关闭连接窗口时 - 指定 Global VPN Client 在关闭窗口时的行为 最小化窗口 ( 从任务栏还原 )- 将窗口最小化到任务栏并且从任务栏恢复窗口 隐藏窗口 ( 从托盘图标重新打开 )- 默认设置, 在关闭 Global VPN Client 窗口时将窗口隐藏 可以通过系统托盘中的程序图标打开 Global VPN Client 启用此设置还将显示我隐藏连接窗口时显示通知复选框 我隐藏连接窗口时显示通知 - 选中此复选框后, 任何时候在程序仍处于运行状态时关闭 Global VPN Client 窗口, 都会激活 SonicWall Global VPN Client 隐藏通知窗口 此消息告知您,Global VPN Client 程序将在您关闭 ( 隐藏 ) 窗口后继续运行 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 入门指南 16

17 管理 Global VPN Client 系统托盘图标 在启动 Global VPN Client 窗口时, 程序图标会出现在任务栏的系统托盘中 此图标提供了程序和 VPN 连接的状态指示器, 以及包含常用 SonicWall Global VPN Client 命令的菜单 右键单击系统托盘中的 Global VPN Client 图标将显示用于管理程序的选项菜单 打开 Global VPN Client - 打开程序窗口 启用 - 显示可以启用的 VPN 连接菜单 禁用 - 显示可以禁用的 VPN 连接菜单 打开日志查看器 - 打开日志查看器以查看信息消息和错误消息 如需日志查看器的更多信息, 请参见第 41 页的了解 Global VPN Client 日志 打开证书管理器 - 打开证书管理器 如需证书管理器的更多信息, 请参见第 39 页的管理证书 退出 - 退出 Global VPN Client 窗口并禁用所有有效的 VPN 连接 将鼠标指针移到系统托盘中的 Global VPN Client 图标上面将会显示已启用的 VPN 连接数量 系统托盘中的 Global VPN Client 图标还充当了 Global VPN Client 与 SonicWall 网关之间的可视化数据传输指示器 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 入门指南 17

18 3 添加 VPN 连接 第 18 页的了解 VPN 连接 第 19 页的使用新建连接向导创建 VPN 连接 第 20 页的导入 VPN 配置文件 第 21 页的从其他工作站使用 Global VPN Client 了解 VPN 连接 利用 Global VPN Client 可以同时配置多个连接 ( 不论从多个网关进行设置还是从一个或多个文件进行导入 ) 由于可以从多个网关设置连接, 因此每个连接都明确声明了在任何连接策略冲突时允许的行为 您可以设置一些 VPN 连接, 在启用 VPN 策略时不允许其他 VPN 连接或 Internet 和网络连接 VPN 连接策略包含建立连接到网关的安全 IPsec 隧道所需的全部参数 连接策略包含阶段 1 和阶段 2 安全关联 (SA) 参数 : 加密和验证建议 阶段 1 身份有效负载类型 阶段 2 代理 ID( 流量选择器 ) 客户端阶段 1 凭据 存在其他有效连接时允许的连接行为 客户端缓存行为添加新的 VPN 连接很简单, 因为 SonicWall 的客户端策略控制会自动提供与本地或远程网络建立安全连接所需的全部配置信息 Global VPN Client 用户无需配置 VPN 连接参数 可以使用三种方法创建 VPN 连接 : 使用新建连接向导将 VPN 策略从 SonicWall VPN 网关下载至 Global VPN Client 此向导将指导您完成查找配置信息源的过程, 并自动通过安全的 IPsec VPN 隧道下载 VPN 配置信息 将 VPN 策略文件导入 SonicWall Global VPN Client VPN 策略将以.rcf 文件的形式发送给您, 您可以使用导入连接对话框来安装策略 将 default.rcf 文件包含在 Global VPN Client 软件安装中进行安装或在安装 Global VPN Client 后添加该文件 如果 SonicWall VPN 网关管理员已将 default.rcf 文件包含在 Global VPN Client 软件中, 则在安装程序后会自动创建一个或多个预配置的 VPN 连接 注 : 通过创建 default.rcf 文件并使用 Global VPN Client 软件进行分配,SonicWall VPN 网关管理员可以简化 VPN 客户端的部署, 并让用户快速建立 VPN 连接 如果下载的 Global VPN Client 软件中包含 default.rcf 文件, 则在安装客户端软件时, 将使用 SonicWall VPN 网关管理员所配置的 VPN 策略自动创建连接 如需创建 default.rcf 文件的更多信息, 请参见第 50 页的使用 default.rcf 文件 SonicWall Global VPN Client 4.10 管理员指南添加 VPN 连接 18

19 注 : 为了方便 Global VPN Client 的自动设置, 请使用 GroupVPN 配置 SonicWall 设备 有关使用 GroupVPN 配置设备的说明, 请参见 SonicOS 管理员指南 注 : 如需将证书导入 Global VPN Client 的说明, 请参见第 39 页的使用证书 使用新建连接向导创建 VPN 连接 以下说明介绍了使用新建连接向导来从本地或远程 SonicWall VPN 网关自动下载用于 Global VPN Client 的 VPN 连接策略的方法 使用 新建连接 向导的步骤如下 : 1 选择开始 > 程序 > Global VPN Client 首次打开 SonicWall Global VPN Client 时会自动启动新建连接向导 2 如果新建连接向导未显示, 请单击新建连接按钮启动它 3 单击下一步 将显示新建连接页面 SonicWall Global VPN Client 4.10 管理员指南添加 VPN 连接 19

20 4 在 IP 地址或域名字段中输入网关的 IP 地址或 FQDN 您在 IP 地址或域名字段中输入的信息将会出现在连接名称字段中 5 如果您需要为您的连接使用其他名称, 可以选择在连接名称字段中输入 VPN 连接的新名称 6 单击下一步 将显示完成新建连接向导页面 7 另外, 选择以下一个或两个选项 : 如果想要在桌面上创建此 VPN 连接的快捷方式, 请选择创建此连接的桌面快捷方式 如果想要在您启动 SonicWall Global VPN Client 时自动建立此 VPN 连接, 请选择启动程序时启用该连接 8 单击完成 新 VPN 连接将会出现在 Global VPN Client 窗口中 导入 VPN 配置文件 SonicWall VPN 网关管理员可以文件方式创建 VPN 连接并发送给您 此 VPN 配置文件带文件扩展名.rcf 如果您从管理员那里收到 VPN 连接文件, 您可以使用导入连接对话框来安装该文件 VPN 策略文件采用 XML 格式, 以提供更高效的策略信息编码 由于该文件可以加密, 因此也可以将预共享密钥导出到其中 加密方法是在 RSA 实验室提供的基于 PKCS#5 密码的加密标准中规定的, 并且使用三重 DES 加密算法和 SHA-1 消息摘要算法 注 : 如果从 SonicWall 设备中导出的.rcf 文件已经加密, 则必须获得密码才能将配置文件导入到 Global VPN Client 中 通过导入由您的网关管理员提供的连接文件来添加 VPN 连接的步骤如下 : 1 选择开始 > 程序 > Global VPN Client SonicWall Global VPN Client 4.10 管理员指南添加 VPN 连接 20

21 2 选择文件 > 导入 随即显示导入连接对话框 3 您可以 在指定要导入的配置文件的名称字段中输入配置文件的文件路径 单击浏览按钮查找文件 4 如果该文件已经加密, 则在如果文件已加密, 请指定密码字段中输入密码 5 单击确定 从其他工作站使用 Global VPN Client 使用 SonicWall Global VPN Client 连接 Microsoft 网络具有某些限制 通常情况下, 当计算机连接至 Microsoft 网络时, 它已稳定地连接至用于验证用户凭据的域控制器 当域控制器验证用户凭据后, 计算机随即创建一个本地缓存的配置文件 当域控制器不可用时, 将使用该配置文件 然而,SonicWall Global VPN Client 提供一个临时的安全网络连接, 通过 Internet 连接到包含域控制器的 Microsoft 网络, 因此不是永久连接 由于在 SonicWall Global VPN Client 提供连接之前, 远程计算机无法连接到域控制器来验证登录凭据, 因此除非有可用的本地缓存配置文件, 否则登录将会失败 以下步骤描述了典型的问题 : 1 必须建立 Global VPN Client 会话才能与 Microsoft 域控制器进行远程通信 2 Global VPN Client 在您登录到工作站之后才能启动 由于在您登录之前无法连接 Global VPN Client, 因此在首次登录时, 您无法使用它进行域登录 3 如果您之前登录过该工作站, 则存在用于登录的本地缓存配置文件 a 然后, 您可以启动 Global VPN Client 并建立域连接 b c 连接到域之后, 您可以运行登录脚本 更改密码 访问域资源等 在您注销时,Global VPN Client 将会终止, 并且停止域通讯 4 如果您之前从未登录过该工作站, 则不存在本地缓存的配置文件, 因此无法登录 由于注销操作 ( 步骤 c) 会终止 SonicWall Global VPN Client, 因此根据历史记录, 它会阻止其他用户登录和创建新的本地缓存配置文件 这会造成不希望出现的效果, 即只有拥有预先存在的 ( 本地缓存的 ) 配置文件的用户才能通过 Global VPN Client 登录 针对此问题的标准解决方法是先在本地连接到域控制器, 然后使用每个使用 SonicWall Global VPN Client 的帐户执行登录 此操作将为每个帐户创建一个本地缓存的配置文件, 这样无需连接域控制器即可实现客户端登录 这种解决方法造成的不利结果是, 除非在计算机上没有缓存的配置文件的用户曾在包含域控制器的网络中短暂逗留, 否则将无法登录 在某些情况下, 这可能非常麻烦, 例如当用户位于远程办公室, 并尝试返回总部时 SonicWall Global VPN Client 4.10 管理员指南添加 VPN 连接 21

22 解决方法 强制创建新的本地缓存配置文件 该解决方法是创建一个引导本地配置文件, 然后使用 SonicWall Global VPN Client 登录到 Microsoft 域 创建引导本地配置文件的步骤如下 : 1 使用任何本地缓存的配置文件 ( 例如 mydomain\user1 或本地计算机帐户 ) 登录到工作站 本地缓存的配置文件通常存储在 C:\Documents and Settings 目录中 在此路径中, 您应该看到一个名为 user1 的文件夹, 其中包含了 user1 的配置文件 2 启动 SonicWall Global VPN Client 3 在 SonicWall Global VPN Client 建立连接并且工作站可以与域控制器通信之后, 您可以创建另一个本地缓存的配置文件 您可以在使用 user1 提供的 Global VPN Client 连接的同时, 使用 runas 命令来为新用户 ( 例如 mydomain\user2) 创建本地缓存的配置文件 4 在命令行提示符后面输入 runas /user:mydomain\user2 explorer.exe( 将 mydomain 替换为您的实际域名, 将 user2 替换为实际用户名 ) 您也可以使用 notepad.exe 代替 explorer.exe 5 在提示符后面, 输入 user2 的域密码 6 为 user2 创建本地配置文件和启动 explorer.exe 程序可能需要几秒钟到几分钟 在 explorer.exe 程序启动后, 您可以退出该程序 7 C:\Documents and Settings 目录现在应该包含 user2 的文件夹 8 关闭 Global VPN Client 9 以 user1 的身份从工作站注销 您将看到熟悉的登录 Windows 对话框 10 使用新创建的本地缓存配置文件, 以 user2 身份登录到工作站 11 启动 SonicWall Global VPN Client user2 配置文件现在将为所有域访问 ( 包括运行登录脚本 ) 提供凭据 12 您可以根据需要重复此过程, 以创建更多配置文件 如果您有另一个可用来将 Global VPN Client 连回域控制器的帐户, 也可以使用此过程来更改过期的用户密码 一种更改密码的简单方法是使用 Windows 安全对话框, 可通过以下方式访问 : 1 按下 Ctrl+Alt Delete 2 选择更改密码 3 输入旧密码 4 输入新密码 5 确认新密码 6 单击箭头按钮 SonicWall Global VPN Client 4.10 管理员指南添加 VPN 连接 22

23 4 执行 VPN 连接 第 23 页的概述 第 23 页的访问冗余 VPN 网关 第 24 页的启用 VPN 连接 第 25 页的建立多个连接 第 25 页的输入预共享密钥 第 26 页的选择证书 第 26 页的提供用户名和密码验证 第 27 页的创建连接快捷方式 第 27 页的连接警告 概述 从 Global VPN Client 执行 VPN 连接非常简单, 因为配置信息是由 SonicWall VPN 网关进行管理的 SonicOS (VPN 网关 ) 管理员会通过参数来设置允许和不允许使用 VPN 连接执行的操作 例如, 出于安全的原因, 管理员可能不允许多个 VPN 连接或不允许在启用 VPN 连接的同时访问互联网或本地网络 Global VPN Client 支持两种 IPsec 验证模式 : 使用共享密钥的 IKE 使用第三方证书的 IKE 共享密钥是最常用的 IPsec 验证模式 如果您的 VPN 连接策略使用第三方证书, 您可以使用证书管理器来配置 Global VPN Client 使用数字证书 预共享密钥 ( 也称为共享密钥 ) 是 VPN 隧道的两个端点用来建立 IKE( 互联网密钥交换 ) 安全关联的预定义密码 此字段可以是任意字母数字字符组合, 最小长度为 4 个字符, 最大长度为 128 个字符 预共享密钥通常配置为 Global VPN Client 设置的一部分 如果没有配置, 在您登录远程网络之前, 系统会提示您输入预共享密钥 访问冗余 VPN 网关 Global VPN Client 支持冗余 VPN 网关, 方法是在 VPN 连接的属性窗口的对等页面中手动添加对等网关 Global VPN Client 增加了在将 IPsec 网关的域名解析为多个 IP 地址时自动支持冗余 VPN 网关的功能 例如, 如果将 gateway.yourcompany.com 解析为 和 , Global VPN Client 将循环查找这些解析的 IP 地址, 直至找到响应的网关为止, 因而可以将多个 IP 地址用作故障切换网关 如果解析的所有 IP 地址都未能响应, 并且已在 VPN 连接的属性对话框的对等页面中指定 SonicWall Global VPN Client 4.10 管理员指南执行 VPN 连接 23

24 了另一个对等网关, 则 Global VPN Client 将切换至下一个对等网关 如需更多信息, 请参见第 30 页的连接属性对等设置 注 : 在配置冗余 VPN 网关时, 如果将网关的 FQDN 解析为多个 IP 地址, 则每个网关的组 VPN 策略属性 ( 例如预共享密钥和对等信息窗口中的属性 ) 都必须相同 但如果是在对等页面中设置多个对等网关, 则每个对等网关都可以有自己的设置 启用 VPN 连接 使用 SonicWall Global VPN Client 启用 VPN 连接是一个透明的两阶段过程 阶段 1 启用连接, 完成 ISAKMP (Internet 安全关联和密钥管理协议 ) 协商 阶段 2 是 IKE(Internet 密钥交换 ) 协商, 建立用于发送和接收数据的 VPN 隧道 在启用 VPN 连接时,Global VPN Client 窗口的状态列中将显示下列信息 : 禁用变为正在连接 显示输入用户名 / 密码对话框时, 正在连接变为正在验证 用户输入用户名和密码时, 正在验证变为正在连接 正在连接变为正在设置 完全建立 VPN 连接后, 正在设置立即变为已连接 VPN 连接图标上随即显示绿色复选标记 建立 VPN 连接之后,Global VPN Client 系统托盘图标将会显示弹出通知 : 连接名称 已连接至 IP 地址以及虚拟 IP 地址 如果在 VPN 连接期间发生错误, 状态栏中将会显示错误,VPN 连接图标中也会显示错误标记 ( 红色 X) 未能成功完成所有阶段 2 连接的 VPN 连接将会在连接图标中显示黄色警告符号 I 注 : 如果 Global VPN Client 未建立 VPN 连接, 您可以使用日志查看器来查看错误消息, 以便解决此问题 如需更多信息, 请参见第 41 页的了解 Global VPN Client 日志 使用 Global VPN Client 建立 VPN 连接的步骤如下 : 1 使用以下方法之一启用 VPN 连接 : 如果您在新建连接向导中选择了启动程序时启用该连接, 则在您启动 SonicWall Global VPN Client 时会自动建立该 VPN 连接 如果在您启动 Global VPN Client 时没有自动建立 VPN 连接, 请选择以下方法之一来启用 VPN 连接 : 双击 VPN 连接 右键单击 VPN 连接图标并从菜单中选择启用 选择 VPN 连接, 然后按 Ctrl+B 选择 VPN 连接, 然后单击工具栏中的启用按钮 选择 VPN 连接, 然后选择文件 > 启用 如果系统托盘中显示了 Global VPN Client 图标, 右键单击该图标, 然后选择启用 > 连接名称 Global VPN Client 将会启用该 VPN 连接, 而无需打开 Global VPN Client 窗口 2 根据 VPN 连接的配置, 可能显示下列对话框 : 无法启用连接 请参见第 25 页的建立多个连接 输入预共享密钥 请参见第 25 页的输入预共享密钥 输入用户名和密码 请参见第 26 页的提供用户名和密码验证 连接警告 请参阅第 27 页的连接警告 SonicWall Global VPN Client 4.10 管理员指南执行 VPN 连接 24

25 建立多个连接 您可以一次启用多个连接, 具体取决于在 VPN 网关设定的连接参数 如果您尝试启用后续 VPN 连接, 但是当前 VPN 连接策略不允许建立多个 VPN 连接, 则将显示无法启用连接消息, 提示您由于当前激活的 VPN 策略不允许多个有效的 VPN 连接, 因此无法进行 VPN 连接 在启用新的 VPN 连接之前, 必须先禁用当前已启用的 VPN 连接 输入预共享密钥 根据 VPN 连接的属性, 如果不使用默认的预共享密钥, 则必须获得网关管理员提供的预共享密钥才能进行 VPN 连接 如果未在连接策略下载或文件中包含默认的预共享密钥, 则在建立 VPN 连接之前会显示输入预共享密钥对话框, 提示您输入预共享密钥 输入预共享密钥的步骤如下 : 1 在预共享密钥字段中输入您的预共享密钥 出于安全考虑将会隐藏预共享密钥 2 如果您想要确认是否输入了正确的预共享密钥, 可以选择请勿隐藏预共享密钥 您输入的预共享密钥将以非隐藏方式显示在预共享密钥字段中 3 单击确定 提示 : 如果您选择此选项, 请确保在验证预共享密钥之后取消选中此选项 SonicWall Global VPN Client 4.10 管理员指南执行 VPN 连接 25

26 选择证书 如果 SonicWall VPN 网关要求提供数字证书来确定您的 VPN 连接身份, 则会显示选择证书对话框 此对话框将列出在您的 Global VPN Client 中安装的所有可用证书 注 : 有关使用证书管理器的更多信息, 请参见第 39 页的管理证书 选择证书的步骤如下 : 1 执行以下某个操作 : 从菜单中选择证书 如果您有尚未使用证书管理器导入 Global VPN Client 的证书, 请单击导入证书 2 单击确定 提供用户名和密码验证 VPN 网关通常指定使用 XAUTH 来确定 GroupVPN 策略成员资格, 要求提供用户名和密码, 以便对照网关的内部用户数据库或通过外部 RADIUS 服务进行验证 如果 SonicWall VPN 网关已设置为提示您输入用户名和密码以便进入远程网络, 则会显示输入用户名和密码对话框 SonicWall Global VPN Client 4.10 管理员指南执行 VPN 连接 26

27 输入用户名和密码的步骤如下 : 1 输入您的用户名和密码 2 如果网关允许, 您可以选择记住用户名和密码来缓存您的用户名和密码, 以便在未来的 VPN 连接中自动登录 3 单击确定继续建立您的 VPN 连接 创建连接快捷方式 提示 : 为 SonicWall Global VPN Client 程序创建桌面快捷方式, 以便访问您的所有连接 如需简化启用 VPN 连接的过程, 您可以将 VPN 连接放置在桌面 任务栏或开始菜单中 也可以将连接放置在系统中的其他任何位置 创建快捷方式 : 1 在 Global VPN Client 窗口中选择要为其创建快捷方式的 VPN 连接 2 选择文件 > 创建快捷方式 3 选择所需的快捷方式选项 : 在桌面上 在任务栏中 在开始菜单中或选择一个位置 也可以右键单击 VPN 连接, 然后选择创建快捷方式 > 快捷方式选项 连接警告 如果 VPN 连接策略仅允许流向网关的流量, 则会显示连接警告消息, 提醒您只允许目的地为 VPN 隧道另一端的远程网络的网络流量 将拦截目的地为本地网络接口和互联网的所有网络流量 您可以通过选中如果是, 将不再显示此对话框选项来禁止每次启用 VPN 连接时显示连接警告消息 单击是继续建立您的 VPN 连接 SonicWall Global VPN Client 4.10 管理员指南执行 VPN 连接 27

28 5 配置 VPN 连接属性 第 28 页的显示连接属性对话框 第 29 页的连接属性常规设置 第 30 页的连接属性用户验证设置 第 30 页的连接属性对等设置 第 34 页的连接属性状态设置 显示连接属性对话框 连接属性对话框中包含用于配置特定 VPN 连接配置文件的控件 如需打开连接属性对话框, 请选择以下方法之一 : 选择连接, 然后选择文件 > 属性 右键单击连接, 然后选择属性 选择连接, 然后单击 Global VPN Client 窗口工具栏中的属性按钮 连接属性对话框中包含常规 用户验证 对等和状态选项卡 SonicWall Global VPN Client 4.10 管理员指南配置 VPN 连接属性 28

29 连接属性常规设置 连接属性对话框中的常规选项卡显示下列设置 : 名称 - 显示您的 VPN 连接名称 说明 - 显示关于连接的弹出文本 在将鼠标指针移至 VPN 连接上面时会显示该文本 对等定义的网络设置 - 定义 Tunnel All 支持的状态 SonicWall VPN 网关可以控制这些设置 允许的其他流量 - 如果启用, 您的计算机可以在 VPN 连接激活时访问本地网络或互联网连接 通过隧道流向对等设备的默认流量 - 如果激活, 将拦截所有未路由至 SonicWall VPN 网关的网络流量 如果已激活此功能, 在启用 VPN 连接时, 将会显示连接警告消息 使用虚拟 IP 地址 - 允许 VPN Client 通过 DHCP 和 VPN 隧道从网关获取其 IP 地址 启动程序时启用该连接 - 在您启动 SonicWall Global VPN Client 时建立该 VPN 连接作为默认 VPN 连接 启用连接后立即建立安全性 - 在启用连接后立即协商第一阶段 IKE, 而不是等待开始传输网络流量 默认启用该设置 出错时自动重新连接 - 启用此功能后, 如果 Global VPN Client 在连接对等客户端时遇到问题, 它将不断重新尝试连接 通过此功能,Global VPN Client 可以自动连接暂时禁用的 VPN 连接, 而无需手动介入 如果由于错误的配置而导致连接错误, 例如对等网关的 DNS 或 IP 地址错误, 则必须手动更正该连接 查看日志查看器以确定该问题, 然后编辑连接 默认启用该选项 禁用此选项后, 如果在尝试连接的过程中发生错误,Global VPN Client 将会记录该错误, 显示错误消息对话框, 并且停止连接尝试 从睡眠或休眠模式中唤醒时自动重新连接 - 在计算机从睡眠或休眠状态唤醒后自动重新启用 VPN 连接 默认禁用该设置 SonicWall Global VPN Client 4.10 管理员指南配置 VPN 连接属性 29

30 建立连接后执行域登录脚本 - 登录到 SonicWall VPN 网关并建立安全隧道后, 执行在登录脚本中配置的任何操作 建立连接后运行以下命令 - 在成功建立 VPN 连接时, 允许使用可选的参数自动执行程序 限制发送的第一个 ISAKMP 数据包的大小 - 当 Global VPN Client 在试图连接时得到诸如 The peer is not responding to phase 1 ISAKMP requests 这样的错误时, 可以使用此选项 若 ISAKMP 数据包因为大小原因而被分片, 但在建立 VPN 连接时, 网络设备 ( 路由器 ) 不支持分片数据包, 则可能发生此错误 连接属性用户验证设置 用户验证页面用于在网关需要用户验证时指定用户名和密码 如果 SonicWall VPN 网关不支持保存 ( 缓存 ) 用户名和密码, 则不会激活此页面中的设置, 并且会在页面底部显示消息对等设备不允许保存用户名和密码 记住我的用户名和密码 - 启用保存用户名和密码以便连接 SonicWall VPN 网关的功能 用户名 - 输入由您的网关管理员提供的用户名 密码 - 输入由您的网关管理员提供的密码 连接属性对等设置 在对等页面, 您可以指定此连接使用的 VPN 对等网关顺序列表 ( 多个条目将允许通过多个 VPN 网关建立 VPN 连接 ) 系统将按照指定的 VPN 对等网关在列表中出现的顺序尝试与之建立 VPN 连接 SonicWall Global VPN Client 4.10 管理员指南配置 VPN 连接属性 30

31 添加对等项的步骤如下 : 1 单击添加 2 在对等信息对话框中的 IP 地址或 DNS 名称字段中输入 IP 地址或 DNS 名称 3 单击确定 编辑对等条目的步骤如下 : 1 选择对等名称 2 单击编辑 3 在对等信息对话框中进行更改 请参见第 31 页的对等信息对话框 4 单击确定 更改对等列表顺序的步骤如下 : 1 选择对等名称 2 单击上移或下移 删除对等条目的步骤如下 : 1 选择对等条目 2 单击删除 对等信息对话框 在对等信息对话框, 可以添加或编辑对等信息 SonicWall Global VPN Client 4.10 管理员指南配置 VPN 连接属性 31

32 IP 地址或 DNS 名称 - 指定对等 VPN 网关的 IP 地址或 DNS 名称 使用默认网关作为对等 IP 地址 - 指定将默认网关作为对等 IP 地址 Global VPN Client 从路由表中获取默认网关 响应超时 - 指定等待已发送数据包的响应的时间上限 经过该时间之后, 已发送的数据包将视为丢失, 并且重新发送该数据包 有效范围为 1-10 秒 最大尝试次数 - 指定在确定对等设备不响应之前发送同一数据包的次数上限 有效范围为 1-10 次尝试 死对等检测 - 从以下选项中选择 : 自动 - 它是基于流量的死对等检测 如果 Global VPN Client 未收到响应数据 ( 单向流量 ), Global VPN Client 将会交换心跳数据包, 以检测对等网关是否有效 如果经过在 DPD 设置中配置的失败检查次数后仍未收到心跳数据包响应,Global VPN Client 将尝试重新发起 IKE 协商 默认启用该设置 强制打开 - 定期执行死对等检测 Global VPN Client 将会交换心跳数据包, 以检测对等网关是否有效 如果经过在 DPD 设置中配置的失败检查次数后仍未收到心跳数据包响应,Global VPN Client 将尝试重新发起 IKE 协商 禁用 - 禁用死对等检测 不交换心跳数据包 这将阻止 Global VPN Client 在网关不可用时执行检测 SonicWall Global VPN Client 4.10 管理员指南配置 VPN 连接属性 32

33 DPD 设置 - 显示死对等检测设置对话框 死对等检查频率 - 选择 或 30 秒 假定以下时间后出现死对等现象 - 选择 3 4 或 5 次失败的检查 NAT 穿越 - 选择以下三个选项之一 : 自动 - 自动确定是否对对等设备之间的 IPsec 数据包使用 UDP 封装 强制打开 - 强制对 IPsec 数据包使用 UDP 封装, 即使对等设备之间不存在 NAPT/NAT 设备亦如此 禁用 - 禁止对对等设备之间的 IPsec 数据包使用 UDP 封装 LAN 设置 - 显示 LAN 设置对话框, 指定在 LAN 上启用此连接时使用的设置 在下一跳 IP 地址字段中输入 IP 地址, 以指定与默认路由不同的路由的下一跳 IP 地址 该设置保留为零表示 Global VPN Client 将使用默认路由 SonicWall Global VPN Client 4.10 管理员指南配置 VPN 连接属性 33

34 连接属性状态设置 状态页面显示了连接的当前状态 连接 : 状态 - 指示已启用或已禁用 VPN 连接 对等 IP 地址 - 显示 VPN 连接对等设备的 IP 地址 持续时间 - 显示连接时间 SonicWall Global VPN Client 4.10 管理员指南配置 VPN 连接属性 34

35 详细信息 - 显示连接状态详细信息对话框, 其中指定了已协商的阶段 1 和阶段 2 参数, 以及所有个别阶段 2 安全关联 (SAs) 的状态 活动 : 数据包数 - 显示已通过 VPN 隧道发送和接收的数据包数量 字节数 - 显示已通过 VPN 隧道发送和接收的字节数量 重置 - 将数据包数和字节数重置为零, 并且立即继续这些计数 虚拟 IP 配置 : IP 地址 - 通过 DHCP 和 VPN 隧道从 VPN 网关分配到的 IP 地址 子网掩码 - 虚拟 IP 地址的子网掩码 续订 - 续订 DHCP 租赁 SonicWall Global VPN Client 4.10 管理员指南配置 VPN 连接属性 35

36 6 管理 VPN 连接 第 36 页的有关 VPN 连接 第 36 页的排列连接 第 36 页的重命名连接 第 37 页的删除连接 第 37 页的选择所有连接 第 37 页的查看 VPN 连接的状态 第 38 页的禁用 VPN 连接 有关 VPN 连接 SonicWall Global VPN Client 可根据您的需要支持任意数量的 VPN 连接 为帮助您管理这些连接,Global VPN Client 提供了本章节所述的连接管理工具 排列连接 随着时间的推移,Global VPN Client 窗口中的 VPN 连接的数量可能会增加, 您可能需要对其进行排列以方便快速访问 您可以在 Global VPN Client 窗口中通过选择视图 > 排序标准来排列您的 VPN 连接 名称 - 按连接名称对连接进行排序 对等 - 按对等名称对连接进行排序 状态 - 按连接状态对连接进行排序 升序 - 如果启用, 则按升序对连接进行排序, 例如 A-Z; 如果禁用, 则按降序排序, 例如 Z-A 默认排序是按名称进行升序排列 重命名连接 如需对连接进行重命名, 请选择连接, 并选择文件 > 重命名, 然后输入新名称 也可以右键单击连接并从菜单中选择重命名 SonicWall Global VPN Client 4.10 管理员指南管理 VPN 连接 36

37 删除连接 重要提示 : 无法删除有效的 VPN 连接 必须先禁用 VPN 连接, 然后再将其删除 如需删除连接, 请执行以下操作之一 : 选择该连接, 然后按下 Delete 键 选择文件 > 删除 右键单击连接名称并选择删除 选择所有连接 选择视图 > 全选或者按 Ctrl+A 选择 Global VPN Client 窗口中的所有连接 查看 VPN 连接的状态 SonicWall Global VPN Client 包含各种指示器来确定 VPN 连接的状态 Global VPN Client 主窗口中列出了您的 VPN 连接及各自的状态 : 禁用 启用 已连接或错误 策略图标上的绿色复选标记指示已成功连接的 VPN 策略 未能成功完成所有阶段 2 连接的 VPN 策略将会在策略图标中显示黄色警告 无法成功连接的 VPN 策略将在策略图标中显示错误标记 ( 红色 X) 系统托盘中的 Global VPN Client 图标显示 Global VPN Client 与网关之间的可视化数据传输指示器 属性对话框中的状态选项卡显示有关有效的 VPN 连接状态的详细信息 如需显示任何 VPN 连接的状态选项卡, 请使用下列方法之一 : 双击有效的 VPN 连接 选择 VPN 连接, 然后按 Ctrl+T 选择 VPN 连接, 然后单击工具栏中的状态按钮 SonicWall Global VPN Client 4.10 管理员指南管理 VPN 连接 37

38 右键单击 Global VPN Client 窗口中的 VPN 连接, 然后选择状态 提示 : 如需状态页面的更多信息, 请参见第 34 页的连接属性状态设置 禁用 VPN 连接 禁用 VPN 连接将会终止 VPN 隧道 您可以使用以下任意方法来禁用 VPN 连接 : 右键单击 Global VPN Client 窗口中的 VPN 连接, 然后选择禁用 右键单击系统托盘中的 Global VPN Client 图标, 然后选择禁用 > 连接 选择连接, 然后按 Ctrl+B 选择连接, 然后单击 Global VPN Client 窗口工具栏中的禁用按钮 SonicWall Global VPN Client 4.10 管理员指南管理 VPN 连接 38

39 7 使用证书 第 39 页的获取配置信息 第 39 页的管理证书 获取配置信息 如果您的 VPN 连接策略要求包含数字证书, 则您的网关管理员必须为您提供必要的信息来导入证书 然后您需要在 Global VPN Client 中使用证书管理器导入证书 小心 : 如果您的 VPN 连接策略要求包含数字证书, 则您的 VPN 网关管理员必须为您提供必要的证书 管理证书 利用证书管理器, 您可以管理 SonicWall Global VPN Client 用于 VPN 连接的数字证书 如果您的 VPN 网关使用数字证书, 则必须将 CA 和本地证书都导入到证书管理器中 SonicWall Global VPN Client 4.10 管理员指南使用证书 39

40 如需打开用于管理证书的证书管理器, 请执行以下步骤 : 1 单击查看菜单 2 在 Global VPN Client 窗口中选择证书 3 在选择证书群组下拉菜单中, 选择以下证书类型之一 : 用户 建立 VPN 安全关联的本地数字证书 CA 验证用户证书的数字证书 受信任的根 CA 用于验证 CA 证书 4 选择列表中的证书, 然后执行以下操作之一 : 单击证书管理器窗口中的导入按钮显示导入证书窗口, 以便导入证书文件 单击移除按钮删除选定的证书 单击详细信息按钮查看选定证书的详细信息 提示 : 有关在 SonicWall 设备上使用 VPN 证书的更多信息, 请参见 SonicOS 管理员指南 SonicWall Global VPN Client 4.10 管理员指南使用证书 40

41 Global VPN Client 故障排除 8 第 41 页的故障排除工具 第 41 页的了解 Global VPN Client 日志 第 43 页的配置日志 第 45 页的生成帮助报告 第 46 页的 SonicWall Global VPN Client 访问技术支持 第 46 页的查看帮助主题 第 47 页的安装 Global VPN Client 故障排除工具 SonicWall Global VPN Client 提供了多种用于排除 VPN 连接故障的工具 日志查看器 第 41 页的了解 Global VPN Client 日志 帮助报告 第 43 页的配置日志 SonicWall 支持网站 第 46 页的 SonicWall Global VPN Client 访问技术支持 SonicWall Global VPN Client 帮助系统 第 46 页的 SonicWall Global VPN Client 访问技术支持 Global VPN Client 卸载 第 47 页的安装 Global VPN Client 了解 Global VPN Client 日志 Global VPN Client 日志窗口显示关于 Global VPN Client 活动的消息 您可以保存这些消息并管理它们 主题 : 第 42 页的打开日志查看器窗口 第 42 页的保存当前日志 第 43 页的管理日志消息 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 故障排除 41

42 打开日志查看器窗口 打开日志查看器窗口的步骤如下 : 1 执行以下某个操作 : 单击 Global VPN Client 窗口工具栏上的显示日志按钮 选择查看 > 日志查看器 按 Ctrl+L 日志查看器窗口将显示此信息 : 类型 - 指示消息类型的图标 : 信息 - 警告 - 错误 - 时间 - 生成消息的日期和时间 对等 - 对等设备的 IP 地址或 FQDN 消息 - 描述事件的消息文本 保存当前日志 单击保存按钮将当前日志保存至.txt 文件 将当前日志保存至文件时,Global VPN Client 会自动添加一份帮助报告, 其中包含了有关 SonicWall Global VPN Client 的状况及其运行系统的有用信息, 以用于故障排除 帮助报告信息位于日志文件的开始处 如需更多信息, 请参见第 45 页的生成帮助报告 提示 : 有关日志查看器消息的完整列表, 请参见第 60 页的日志查看器消息 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 故障排除 42

43 管理日志消息 日志查看器提供下列功能来帮助您管理日志消息 : 如需将当前日志保存至.txt 文件, 请单击工具栏中的保存按钮, 按 Ctrl+S 或选择文件 > 保存 保存日志查看器文件时,Global VPN Client 会自动添加一份报告, 其中包含了有关 SonicWall Global VPN Client 的状况及其运行系统的有用信息 如需选择全部消息, 请按 Ctrl+A 或选择编辑 > 全选 如需复制日志内容以粘贴到其他应用程序中, 请选择想要复制的消息, 然后按 Ctrl+C 或选择编辑 > 复制 如需在日志查看器中显示比较粗略的信息, 请单击工具栏中的过滤消息按钮或选择视图 > 过滤消息 如需在日志消息中搜索字符串, 请执行以下操作之一 : 单击工具栏中的查找图标 选择编辑 > 查找, 然后在查找对话框中输入字符串 在对话框中, 您可以选择全字匹配 区分大小写, 以及向上或向下搜索方向 单击查找下一个图标进行搜索 在查找对话框中输入字符串后, 可以单击 X 关闭对话框, 然后使用工具栏中的查找下一个和查找上一个图标 如需清除当前的日志信息, 请执行以下操作之一 : 单击工具栏中的清除 按下 Crtl+X 选择编辑 > 清除 如需隐藏或显示日志查看器窗口中的工具栏, 请选择视图 > 工具栏以开启或关闭工具栏 如需隐藏或显示日志查看器窗口中的状态栏, 请选择视图 > 状态栏以开启或关闭状态栏 配置日志 视图 > 选项对话框中的日志记录选项卡指定了用于配置 Global VPN Client 日志行为的设置 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 故障排除 43

44 要保留的最大日志消息数 - 指定在日志文件中保留的日志消息最大数量 记录 ISAKMP 标头信息 - 启用记录 ISAKMP 标头信息 记录死对等检测数据包 - 启用记录死对等检测数据包 记录 NAT 保持活动数据包 - 启用记录 NAT 存活数据包 启用向文件自动记录消息 - 启用按自动记录窗口中指定的方法自动将消息记录到文件 设置 - 显示自动记录对话框 ; 请参见第 44 页的配置自动记录 配置自动记录 单击设置将显示自动记录对话, 以指定自动将消息记录到文件所用的设置 日志文件将保存为文本 (.txt) 文件 输入自动记录文件的名称 - 指定将日志记录消息保存到的目标文件 单击浏览按钮可以指定自动记录文件的位置 如果仅指定文件名 ( 未在文件名中提供路径 ), 则将在用户的 TEMP 目录中创建日志文件 查看自动记录文件 - 显示整个日志文件 ( 不超过 71,000 行 ) 自动记录启动后覆盖现有文件 - 启动自动记录时覆盖现有的自动记录文件 设置自动记录文件的大小限制 - 限制日志文件的上限 自动记录文件的最大值 - 指定文件的上限 (KB 或 MB) 如果达到自动记录大小限制 - 指定在自动记录文件达到上限时执行的操作 询问我应执行什么操作 - 日志文件达到上限时提示用户选择停止自动记录或覆盖自动记录文件 停止自动记录 - 达到文件上限时停止自动记录 覆盖自动记录文件 - 达到文件上限后覆盖现有的自动记录文件 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 故障排除 44

45 生成帮助报告 在 Global VPN Client 窗口中选择帮助 > 生成报告将显示 Global VPN Client 报告对话框 生成报告用于创建报告, 其中包含了有关如何获取帮助以解决您可能遇到的问题的有用信息 该报告包含有关 SonicWall Global VPN Client 状态及其运行系统的信息 版本信息 驱动程序 系统信息 IP 地址 路由表 当前日志消息 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 故障排除 45

46 如需在默认文本编辑器窗口中查看报告, 请单击查看 如需将报告保存至文本文件, 请单击另存为 如需通过电子邮件发送报告, 请单击发送 如需关闭报告窗口而不执行任何操作, 请单击不要发送 SonicWall Global VPN Client 访问技术支持 SonicWall 全面的支持服务可以保护您的网络安全投资, 并在需要时提供支持 您的 SonicWall 网络安全设备支持计划已包含 SonicWall Global VPN Client 支持 选择帮助 > 技术支持可访问 SonicWall 支持网站 : SonicWall 支持网站提供全方位的支持服务, 包括丰富的在线资源和有关 SonicWall 增强支持计划的信息 您可以通过 MySonicWall 帐户购买 / 激活 SonicWall 支持服务 : 查看帮助主题 选择帮助 > 帮助主题将显示 SonicWall Global VPN Client 帮助系统窗口 您可以使用下列选项来访问帮助主题 : 目录 - 以目录视图显示帮助 索引 - 以字母表主题视图显示帮助 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 故障排除 46

47 搜索 - 允许您使用关键字搜索帮助系统 安装 Global VPN Client 您可以轻松地卸载 SonicWall Global VPN Client, 以及在卸载过程中选择保存或删除您的 VPN 连接 注 : 在卸载 SonicWall Global VPN Client 之前, 必须先退出该程序 卸载 SonicWall Global VPN Client 的步骤如下 : 1 启动 Windows 控制面板 2 双击程序和功能 3 选择 Global VPN Client 4 单击删除 5 在确认文件删除对话框中, 单击是或确定以确认删除 SonicWall Global VPN Client 6 如果想要 : 删除您的所有现有 VPN 连接配置文件, 请选择删除所有个人用户配置文件 如果将此设置保留未选中状态, 则会保存 VPN 连接配置文件, 并在下次安装 SonicWall Global VPN Client 时再次显示 在下次安装 Global VPN Client 时保留相同的 SonicWall VPN 适配器 MAC 地址, 请选择保留 MAC 地址 7 单击下一步 8 删除 Global VPN Client 后, 在系统提示时重启计算机 SonicWall Global VPN Client 4.10 管理员指南 Global VPN Client 故障排除 47

48 配置 SonicWall 设备使用 Global VPN Client 9 第 48 页的关于 GroupVPN 策略 第 48 页的 Global VPN Client 许可证 第 48 页的平台支持的群组 VPN 连接数 第 49 页的激活 Global VPN Client 第 49 页的下载 Global VPN Client 软件和文档 关于 GroupVPN 策略 SonicOS GroupVPN 策略提供从 SonicWall 安全设备自动设置 SonicWall Global VPN Client 的功能 GroupVPN 策略仅可用于 SonicWall Global VPN Client SonicOS GroupVPN 支持两种 IPsec 密钥模式 : 使用共享密钥的 IKE 使用第三方证书的 IKE 创建 GroupVPN 策略后, 可以使用以下方法来配置 GroupVPN 自动设置 SonicWall Global VPN Client: 下载策略或导出策略文件, 以便在 SonicWall Global VPN Client 中手动进行安装 注 : 如需在 SonicWall 设备上配置 GroupVPN 以支持 SonicWall Global VPN Client 的信息, 请参见 SonicOS 管理员指南 以下支持页面中提供了所有 SonicWall 产品文档 : Global VPN Client 许可证 Global VPN Client 许可基于连接到 SonicWall 设备的并发 Global VPN Client 连接数量 如果超过并发 Global VPN Client 连接数量,SonicOS 将不允许更多 Global VPN Client 连接 并发 Global VPN Client 数量一旦降至许可证限值以下, 即可建立新的 Global VPN 连接 平台支持的群组 VPN 连接数 每种 SonicWall 设备型号支持的 Global VPN Client 许可证数量各不相同 您可以从您的经销商处或者在 mysonicwall.com 在线购买 Global VPN Client 软件和 Global VPN Client 许可证 SonicWall Global VPN Client 4.10 管理员指南配置 SonicWall 设备使用 Global VPN Client 48

49 激活 Global VPN Client 如需激活和下载 SonicWall Global VPN Client 软件, 您必须拥有有效的 MySonicWall 帐户, 并且必须用该账户注册您的 SonicWall 设备 如果您还没有 MySonicWall 帐户或还未用该账户注册您的设备, 请在 上创建一个帐户, 然后按照注册说明执行操作 激活 Global VPN Client 许可证的步骤如下 : 1 登录到您的 MySonicWall 帐户 2 选择已注册的 SonicWall 网络安全设备 3 从适用服务菜单中选择 Global VPN Client 4 选择激活 5 在激活密钥字段中输入您的激活密钥 6 单击提交 成功激活时将会显示确认消息 提示 : 请记录 SonicWall 设备的序列号以备将来参考 现在, 您的许可证激活过程已经完成 下载 Global VPN Client 软件和文档 1 在 Web 浏览器中, 登录到您的 MySonicWall 账户 2 在 我的产品 页面中, 单击已为其激活 Global VPN Client 许可证的 SonicWall 设备 3 选择软件下载 如果该服务尚未激活, 请单击同意将其激活 4 下载 SonicWall Global VPN Client 软件和文档 SonicWall Global VPN Client 4.10 管理员指南配置 SonicWall 设备使用 Global VPN Client 49

50 A 使用 default.rcf 文件 第 50 页的关于 default.rcf 文件 第 50 页的 Global VPN Client 如何使用 default.rcf 第 51 页的部署 default.rcf 文件 第 52 页的创建 default.rcf 文件 第 54 页的 default.rcf 示例文件 第 56 页的排除 default.rcf 文件故障 关于 default.rcf 文件 利用 default.rcf 文件, 可以为 SonicWall Global VPN Client 创建和分发预配置的 VPN 连接 您可使用 Global VPN Client 软件分配 default.rcf 文件, 以便通过自动创建预配置的 VPN 连接来简化部署过程 通过 default.rcf 文件创建的 VPN 连接会出现在 Global VPN Client 窗口中 Global VPN Client 用户只需启用 VPN 连接, 在使用用户名和密码完成 XAUTH 验证后, 就能自动完成策略下载 Global VPN Client 如何使用 default.rcf 当 Global VPN Client 启动时, 程序总是在 C:\Users\<user>\AppData\Roaming\SonicWall\Global VPN Client\ 目录中查找配置文件 Connections.rcf 如果此文件不存在, 则 Global VPN Client 会在程序安装目录 C:\Program Files\SonicWall\Global VPN Client\ 中查找 default.rcf 文件 如果存在 default.rcf 文件,Global VPN Client 将读取该文件, 并在 C:\Users\<user>\AppData\Roaming\SonicWall\Global VPN Client\ 目录中创建配置文件 Connections.rcf Connections.rcf 文件中包含 SonicWall Global VPN Client 的所有 VPN 连接配置信息, 以及经过加密的敏感数据 ( 用户名和密码 ) SonicWall Global VPN Client 4.10 管理员指南使用 default.rcf 文件 50

51 部署 default.rcf 文件 有三种方法可为您的 SonicWall Global VPN Client 部署 default.rcf 文件 : 在运行安装程序之前, 将 default.rcf 文件与安装程序软件 GVCInstallXX.MSI 关联, 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64 请参见第 51 页的在 MSI 安装程序中关联 default.rcf 文件 在首次打开 SonicWall Global VPN Client 应用程序之前, 将 default.rcf 文件添加到程序安装目录中 请参见第 52 页的将 default.rcf 文件添加到安装目录 如果用户的配置文件夹中已存在 Connections.rcf 配置文件, 则使用来自程序安装目录中的 default.rcf 文件的设置来替换它 请参见第 52 页的用 default.rcf 文件替换现有.rcf 文件 在 MSI 安装程序中关联 default.rcf 文件 创建 default.rcf 文件后, 在运行安装程序之前, 将其与 MSI 安装程序关联 (GVCInstallXX.MSI, 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64) 相同的文件夹内 安装过程现在会将 default.rcf 复制到程序安装目录中 完成此安装后, 当用户启动 Global VPN Client 程序时, 将会使用 default.rcf 中定义的连接在 C:\Users\<user>\AppData\Roaming\SonicWall\Global VPN Client\ 目录中创建配置文件 Connections.rcf 对于 Global VPN Client 用户而言, 这是最简单的方法 在安装过程中让所有用户都从 default.rcf 中获得相同的配置文件 : 1 从 SonicWall 网络安全设备 (VPN 网关 ) 中导出 WAN groupvpn 配置或创建 default.rcf( 如果需要多个连接 ) 2 将导出的配置文件重命名为 default.rcf 3 输入以下命令行, 从 GVCSetupXX.exe 中提取 GVCInstallXX.MSI( 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64): GVCSetupXX.exe /T:< 您需要将 MSI 提取到的目标路径 > /C 4 将 default.rcf 文件复制到与 GVCInstallXX.MSI( 安装程序文件 ) 相同的目录中 5 启动安装程序 (GVCInstallXX.MSI) 安装过程会将 default.rcf 复制到 GVC 安装目录中 6 完成安装并启动 Global VPN Client 后, 它将读取 default.rcf 并使用它创建所定义的连接 小心 : 必须将 default.rcf 文件包含在 Global VPN Client 安装目录 C:\Program Files\SonicWall\Global VPN Client\ 中, 程序才能根据 default.rcf 文件中定义的设置写入 Connections.rcf 文件 SonicWall Global VPN Client 4.10 管理员指南使用 default.rcf 文件 51

52 将 default.rcf 文件添加到安装目录 在安装 Global VPN Client 软件之后, 运行程序之前, 用户可以将 default.rcf 文件添加到 Global VPN Client 安装目录 C:\Program Files\SonicWall\Global VPN Client\ 中 当用户启动 Global VPN Client 程序时, 就会根据 default.rcf 文件设置在 C:\Users\<user>\AppData\Roaming\SonicWall\Global VPN Client\ 目录中创建配置文件 Global VPN Client.rcf 用 default.rcf 文件替换现有.rcf 文件 如果 C:\Users\<user>\AppData\Roaming\SonicWall\Global VPN Client\ 目录中已经存在配置文件 Connections.rcf, 用户可以删除此文件, 并将 default.rcf 文件添加到 Global VPN Client 安装目录 C:\Program Files\SonicWall\Global VPN Client\ 中 用户下次启动 Global VPN Client 时, 就会根据 default.rcf 文件设置在 C:\Users\<user>\AppData\Roaming\SonicWall\Global VPN Client\ 目录中创建 Connections.rcf 文件 小心 : Connections.rcf 文件是用户特定的文件, 多数情况下无法用于运行 SonicWall Global VPN Client 的其他用户 ( 即使在同一台计算机上亦如此 ) 小心 : 删除现有的 Connections.rcf 文件将会删除在 Global VPN Client 中创建的 VPN 连接 可以从 Global VPN Client 中再次将这些 VPN 连接添加到新的 Connections.rcf 文件中 创建 default.rcf 文件 您可以使用任何文本编辑器 ( 例如 Windows 记事本 ) 来创建您的自定义 default.rcf 文件 SonicWall Global VPN Client 4.10 管理员指南使用 default.rcf 文件 52

53 default.rcf 文件标签说明 未在 default.rcf 中明确列出的标签将设为默认设置 ( 这与您在 Global VPN Client 中手动配置新 VPN 连接时的行为相同 ) 每个标签的默认设置使用方括号中的粗体文本高亮显示, 例如 [ 默认 ]: <SW_Client_Policy version = 9.0 > <Connections> 用于在 default.rcf 配置文件中定义连接配置文件 对于允许的连接配置文件数量, 没有定义硬限制 <Connection name = 连接名称 > 用于为出现在 Global VPN Client 窗口中的 VPN 连接提供名称 <Description> 说明文本 </Description> 为每个连接配置文件提供说明 用户在将鼠标指针移至 Global VPN Client 窗口中的 VPN 策略上面时将会显示此说明 <Description> 标签的最大字符数为 1023 个 <Flags> <AutoConnect>[Off=0]/On=1</AutoConnect> 在程序启动时启用此连接 <ForceIsakmp>Off=0/[On=1]</ForceIsakmp> 在启用连接时立即启动 IKE 协商, 而无需等待网络流量 如果禁用, 则仅在出现到目的地网络的流量时才发起 IKE 协商 <ReEnableOnWake>[Off=0]/On=1</ReEnableOnWake> 在从睡眠或休眠状态唤醒计算机时启用连接 <ReconnectOnError>Off=0/[On=1]</ReconnectOnError> 在发生错误时自动持续尝试启用连接 <ExecuteLogonScript>[Disable=0]/Enable=1</ExecuteLogonScript> 强制启动登录脚本 </Flags> <Peer> 定义 VPN 连接的对等设置 VPN 连接可以支持最多 5 个对等 <HostName>IP 地址 / 域名 </HostName> SonicWall 网关的 IP 地址或域名 <EnableDeadPeerDetection>Off=0/On=1</EnableDeadPeerDetection> 在对等设备停止响应流量时启用检测 它会在 IKE 协商期间, 将供应商 ID 发送至 SonicWall 设备以启用死对等检测心跳流量 注 : NAT 穿越 - 提供包含以下三个选项的下拉选择列表 : 自动 - 检测 NAT 穿越已开启还是关闭 强制打开 - 强制打开 NAT 穿越 禁用 - 强制关闭 NAT 穿越 如需在自定义 default.rcf 文件中指定 自动, 请将 ForceNATTraversal 和 DisableNATTraversal 设为 0, 或者不要列出这些标签 <ForceNATTraversal>[Off=0]/On=1</ForceNATTraversal> 强制 NAT 穿越 ( 即使中间没有 NAT 设备亦如此 ) 正常情况下, 在完成 IKE 协商后, 会自动检测中间的 NAT 设备以及启动 IPSEC 流量的 UDP 封装 <DisableNATTraversal>[Off=0]/On=1</DisableNATTraversal> 禁用 NAT 穿越 ( 即使中间没有 NAT 设备亦如此 ) 正常情况下, 在完成 IKE 协商后, 会自动检测中间的 NAT 设备以及启动 IPSEC 流量的 UDP 封装 SonicWall Global VPN Client 4.10 管理员指南使用 default.rcf 文件 53

54 <NextHop>IP Address</NextHop> 此连接的下一跳 IP 地址 重要提示 : <NextHop> 仅在需要使用不同于默认网关的下一跃点时使用 <Timeout>[3]<Timeout> 定义重新传输数据包的超时值 ( 以秒计 ) 最小 <Timeout> 值为 1 秒, 最大值为 10 秒 <Retries>[3]<Retries> 在将连接视为死连接之前重试数据包重新传输的次数 最小 <Retries> 值为 1, 最大值为 10 <UseDefaultGWAsPeerIP>[Off=0]/On=1</UseDefaultGWAsPeerIP> 指定使用 PC 的默认网关 IP 地址作为对等 IP 地址 <WaitForSourceIP>Off=0/[On=1]</WaitForSourceIP> 指定在有可用的本地源 IP 地址时发送数据包 <DPDInterval>[[3]-30]</DPDInterval> 指定在将对等声明为死对等之前需要等待的持续时间 ( 以秒计 ) 允许的间隔时间值包括 和 30 秒 <DPDAttempts>[3-[5]]</DPDAttempts> 指定在将对等声明为死对等之前尝试联系对等的失败次数 允许的值包括 3 4 或 5 次 <DPDAlwaysSend>[Off=0]/On=1</DPDAlwaysSend> 指示 Global VPN Client 基于从对等收到的网络流量发送 DPD 数据包 </Peer> 对于此连接中的冗余网关, 重复 <Peer> 下面的所有标签 每个连接最多可以有 5 个冗余网关 </Connection> 定义配置文件中的每个连接配置文件的终点 </Connections> 定义 Default.rcf 文件中的所有连接配置文件的终点 </SW_Client_Policy> default.rcf 示例文件 下面是一个 default.rcf 文件示例 此文件包含两个 VPN 连接 : 企业防火墙和海外办事处 企业防火墙连接配置中包含冗余 VPN 连接的两个对等条目 小心 : 如果您尝试直接将此示范文件复制到 ASCII 文本编辑器中, 在保存此文件时, 您可能必须删除每行结束处的所有段落标签 在分配文件之前, 验证可以将其导入到 Global VPN 应用程序中 <?xml version="1.0" standalone="yes"?> <SW_Client_Policy version="9.0"> <Connections> <Connection name=" 企业防火墙 "> <Description> 这是企业防火墙 如果出现连接问题, 请拨打 fix-today </Description> <Flags> <AutoConnect>0</AutoConnect> <ForceIsakmp>1</ForceIsakmp> <ReEnableOnWake>0</ReEnableOnWake> SonicWall Global VPN Client 4.10 管理员指南使用 default.rcf 文件 54

55 <ReconnectOnError>1</ReconnectOnError> <ExecuteLogonScript>0</ExecuteLogonScript> </Flags> <Peer> <HostName>CorporateFW</HostName> <EnableDeadPeerDetection>1</EnableDeadPeerDetection> <ForceNATTraversal>0</ForceNATTraversal> <DisableNATTraversal>0</DisableNATTraversal> <NextHop> </NextHop> <Timeout>3</Timeout> <Retries>3</Retries> <UseDefaultGWAsPeerIP>0</UseDefaultGWAsPeerIP> <InterfaceSelection>0</InterfaceSelection> <WaitForSourceIP>0</WaitForSourceIP> <DPDInterval>3</DPDInterval> <DPDAttempts>3</DPDAttempts> <DPDAlwaysSend>0</DPDAlwaysSend> </Peer> <Peer> <HostName> </HostName> <EnableDeadPeerDetection>1</EnableDeadPeerDetection> <ForceNATTraversal>0</ForceNATTraversal> <DisableNATTraversal>0</DisableNATTraversal> <NextHop> </NextHop> <Timeout>3</Timeout> <Retries>3</Retries> <UseDefaultGWAsPeerIP>0</UseDefaultGWAsPeerIP> <InterfaceSelection>0</InterfaceSelection> <WaitForSourceIP>0</WaitForSourceIP> <DPDInterval>3</DPDInterval> <DPDAttempts>3</DPDAttempts> <DPDAlwaysSend>0</DPDAlwaysSend> </Peer> </Connection> <Connection name=" 海外网关 "> <Description> 这是在海外出差时连接的防火墙 </Description> <Flags> SonicWall Global VPN Client 4.10 管理员指南使用 default.rcf 文件 55

56 <AutoConnect>0</AutoConnect> <ForceIsakmp>1</ForceIsakmp> <ReEnableOnWake>0</ReEnableOnWake> <ReconnectOnError>1</ReconnectOnError> <ExecuteLogonScript>0</ExecuteLogonScript> </Flags> <Peer> <HostName><Default Gateway></HostName> <EnableDeadPeerDetection>1</EnableDeadPeerDetection> <ForceNATTraversal>0</ForceNATTraversal> <DisableNATTraversal>0</DisableNATTraversal> <NextHop> </NextHop> <Timeout>3</Timeout> <Retries>3</Retries> <UseDefaultGWAsPeerIP>1</UseDefaultGWAsPeerIP> <InterfaceSelection>0</InterfaceSelection> <WaitForSourceIP>0</WaitForSourceIP> <DPDInterval>3</DPDInterval> <DPDAttempts>3</DPDAttempts> <DPDAlwaysSend>0</DPDAlwaysSend> </Peer> </Connection> </Connections> </SW_Client_Policy> 排除 default.rcf 文件故障 问题 如果在您的 default.rcf 文件中有任何错误的条目或拼写错误,default.rcf 文件中的设置将无法合并到 Global VPN Client 中, 并且 Global VPN Client 窗口中也不会显示任何连接配置文件 要么显示错误消息 : Failed to parse configuration <file>, 显示在 Global VPN Client 日志查看器中 无法导入指定的配置文件 在尝试导入文件时显示文件似乎已损坏 解决方案 确保文件中不包含任何非 ASCII 字符 必须从 \ 目录中删除由 default.rcf 文件创建的 Connections.rcf 文件, 并且编辑 default.rcf 文件以更正错误 SonicWall Global VPN Client 4.10 管理员指南使用 default.rcf 文件 56

57 问题 default.rcf 文件无法设置只读属性 在尝试连接时, 对等名称 <Default Gateway> 显示以下错误消息 : 无法将对等名称 < 默认网关 > 转化为 IP 地址 解决方案 必须从 \ 目录中删除由 default.rcf 文件创建的 Connections.rcf 文件, 并且删除 default.rcf 文件的只读属性以更正该错误 在将对等名称设为 < 默认网关 > 的特例时, 必须将 <UseDefaultGWAsPeerIP> 的标签设置为 1 必须从 \ 目录中删除由 default.rcf 文件创建的 Connections.rcf 文件 SonicWall Global VPN Client 4.10 管理员指南使用 default.rcf 文件 57

58 B 使用 Global VPN Client CLI 第 58 页的关于 Global VPN Client CLI 第 58 页的命令行选项 第 58 页的命令行示例 关于 Global VPN Client CLI 可以从命令行界面 (CLI) 运行 SonicWall Global VPN Client 利用此接口可以编程方式或基于脚本的方式启动某些 Global VPN Client 功能, 而无需用户直接在 Global VPN Client 应用程序中执行操作 Global VPN Client CLI 允许设置脚本, 以便在启动某个应用程序或连接方法时自动启动安全隧道 CLI 命令要求使用 Global VPN Client 应用程序的完整路径名称, 后面紧跟各种标签和变量信息, 例如用户名或密码 小心 : 直接在脚本中嵌入用户密码存在安全风险 任何能够访问脚本的用户都能读取该密码, 从而造成安全风险 建议脚本或编程仪表板在发起连接之前要求提供密码, 然后清除该变量 命令行选项 您可以使用下列选项从命令行执行各种 Global VPN Client 操作 /E 连接名称 - 启用特定连接 /D 连接名称 - 禁用特定连接 /Q - 退出程序的运行实例 如果程序尚未运行, 则忽略此选项 /A [ 文件名 ] - 启动程序并将所有消息发送至指定的日志文件 如果未指定日志文件, 则默认文件名为 gvcauto.log 如果程序已经在运行, 则忽略此选项 /U 用户名 - 传递至 XAUTH 的用户名 必须与 /E 联合使用 /P 密码 - 传递至 XAUTH 的密码 必须与 /E 联合使用 命令行示例 < 路径 >\swgvpnclient - 运行 / 启动应用程序 如果应用程序已经在运行, 则不会创建另一个实例 < 路径 >\swgvpnclient /E < 连接名称 > /U < 用户名 > and /P < 密码 > - 运行 / 启动应用程序, 启用指定连接并且使用 < 用户名 > 和 < 密码 > 进行用户验证 如果您未包含用户名和密码,Global VPN Client 将显示对话框, 要求您提供上述信息以便继续 SonicWall Global VPN Client 4.10 管理员指南使用 Global VPN Client CLI 58

59 < 路径 >\swgvpnclient /A < 路径 \ 文件名 > 运行 / 启动应用程序, 并且启用将所有事件自动记录到日志文件的功能 如果未指定文件名, 则使用默认名称 <gvcauto.log> 创建日志文件 如果想要保存每个 Global VPN Client 会话的自动记录, 您可以在每次启动应用程序时使用文件名选项并指定不同的文件名 如果不指定路径, 则在启动 Global VPN Client 应用程序的相同目录下创建此文件 SonicWall Global VPN Client 4.10 管理员指南使用 Global VPN Client CLI 59

60 C 日志查看器消息 本节提供关于 SonicWall Global VPN Client 日志消息的信息 以下表格列出了 Global VPN Client 日志查看器中可能出现的错误 信息和警告消息 第 60 页的错误消息 第 66 页的信息消息 第 69 页的警告消息 错误消息 类型 消息 "Invalid DOI in notify message," : called with invalid parameters. A phase 2 IV has already been created. An error occurred. Attributes were specified but not offered. Authentication algorithm is not supported. CA certificate not found in list. Calculated policy configuration attributes length does not match length of attributes set into policy configuration payload. Calculated XAuth attributes length does not match length of attributes set into XAuth payload. Can not change the Diffie-Hellman group for PFS. Can not process packet that does not have at least one payload. Can not process unsupported mode config type. Can not process unsupported XAuth type. Can not set IPSEC proposals into empty SA list. Cannot do quick mode: no SA's to negotiate. certificate error. Certificate ID not specified. Deallocation of event publisher context failed. Diffie-Hellman group generator length has not been set. Diffie-Hellman group prime length has not been set. DSS signature processing failed - signature is not valid. SonicWall Global VPN Client 4.10 管理员指南日志查看器消息 60

61 类型 消息 Encryption algorithm is not supported. ESP transform algorithm is not supported. Failed to add a new AH entry to the phase 2 SA list. Failed to add a new ESP entry to the phase 2 SA list. Failed to add IPSEC encapsulation mode into the payload. Failed to add IPSEC group description into the payload. Failed to add IPSEC HMAC algorithm into the payload. Failed to add IPSEC life duration into the payload. Failed to add IPSEC life type into the payload. Failed to add OAKLEY authentication algorithm into the payload. Failed to add OAKLEY encryption algorithm into the payload. Failed to add OAKLEY generator G1 into the payload. Failed to add OAKLEY group description into the payload. Failed to add OAKLEY group type into the payload. Failed to add OAKLEY hash algorithm into the payload. Failed to add OAKLEY life duration into the payload. Failed to add OAKLEY life type into the payload. Failed to add OAKLEY prime P into the payload. Failed to add policy configuration INI format into the payload. Failed to add policy configuration version into the payload. Failed to add XAuth password '' into the payload. Failed to add XAuth status into the payload. Failed to add XAuth type into the payload. Failed to add XAuth username '' into the payload. Failed to allocate bytes. Failed to allocate memory. Failed to begin phase 1 exchange. Failed to begin quick mode exchange. Failed to build a DSS object. Failed to build dead peer detection packet. Failed to build dead peer detection reply message. Failed to build dead peer detection request message. Failed to build phase 1 delete message. Failed to calculate DES mode from ESP transfer. Failed to calculate policy configuration attributes length. Failed to calculate XAuth attributes length. Failed to compute IV for connection entry. Failed to construct certificate payload. SonicWall Global VPN Client 4.10 管理员指南日志查看器消息 61