GVC 4.9 Admin Guide

Transcription

1 Global VPN Client 4.9 1

2 注意 小心和警告 注意 : 注意 用来提示重要信息, 帮助您更好地使用您的系统 小心 : 小心 用来提示如不按照相应说明进行操作, 可能引起的硬件损坏或数据丢失 警告 : 警告 用来提示可能造成财产损失或人员伤亡的情况 2014 Dell Inc. 商标 :Dell DELL 徽标 SonicWALL 及所有其他 SonicWALL 产品 服务名称和标语是 Dell Inc. 的商标 部件号 修订版 B 2 Dell SonicWALL Global VPN Client 4.9 管理员指南

3 目录 Dell SonicWALL Global VPN Client 概述 Dell SonicWALL Global VPN Client 功能 Global VPN Client 企业版 关于本指南 本指南中使用的约定 本指南中使用的图标 Global VPN Client 入门 安装 Global VPN Client 从之前版本升级 Global VPN Client 使用 Ghost 应用程序安装 Global VPN Client 命令行安装选项 启动 Global VPN Client 指定 Global VPN Client 启动选项 管理 Global VPN Client 系统托盘图标 添加 VPN 连接 了解 VPN 连接 使用新建连接向导创建 VPN 连接 导入 VPN 配置文件 配置拨号 VPN 连接 从其他工作站使用 Global VPN Client 执行 VPN 连接 访问冗余 VPN 网关 启用 VPN 连接 建立多个连接 输入预共享密钥 选择证书 用户名和密码验证 创建连接快捷方式 连接警告 查看 VPN 连接的状态 禁用 VPN 连接 配置 VPN 连接属性 目录 3

4 连接属性常规设置 连接属性用户验证设置 连接属性对等设置 连接属性状态设置 管理 VPN 连接 排列连接 重命名连接 删除连接 选择所有连接 使用证书 管理证书 Global VPN Client 故障排除 了解 Global VPN Client 日志 配置日志 生成帮助报告 访问 Dell SonicWALL Global VPN Client 技术支持 查看帮助主题 卸载 Dell SonicWALL Global VPN Client 配置 Dell SonicWALL 设备使用 Global VPN Client Dell SonicWALL Global VPN Client 许可证 每种设备型号支持的群组 VPN 连接数 激活 Dell SonicWALL Global VPN Client 下载 Global VPN Client 软件和文档 附录 A - 在 Global VPN Client 中使用 Default.rcf 文件 Global VPN Client 如何使用 Default.rcf 文件 部署 Default.rcf 文件 创建 Default.rcf 文件 default.rcf 示例文件 排除 Default.rcf 文件故障 附录 B - 使用 Global VPN Client CLI 命令行选项 命令行示例 附录 C - 日志查看器消息 日志查看器错误消息 日志查看器信息消息 日志查看器警告消息 版权 保修和许可证协议 Copyright Notice Limited Warranty Software License Agreement Dell SonicWALL Global VPN Client 4.9 管理员指南

5 Dell SonicWALL Global VPN Client 概述 Dell SonicWALL Global VPN Client 在您的计算机与企业网络之间创建虚拟专用网 (VPN) 连接, 以维护私有数据的机密性 Global VPN Client 提供了简单易用的解决方案, 不仅让远程用户能够通过互联网或企业拨号设施实现安全的加密型访问, 也让使用 Dell SonicWALL WiFiSec 技术的 Dell SonicWALL 安全无线设备客户端能够实现安全的无线联网 Global VPN Client 由 Dell SonicWALL 定制开发, 它通过在 Dell SonicWALL 互联网安全设备中结合 GroupVPN 技术, 显著简化了 VPN 的部署和管理 利用 Dell SonicWALL 的 VPN Client Policy Provisioning (VPN 客户端策略控制 ) 技术,SonicOS 管理员可以为 Global VPN Client 建立 VPN 连接策略 VPN 配置数据将以透明的方式从 Dell SonicWALL VPN 网关 (Dell SonicWALL 互联网安全设备 ) 下载至 Global VPN Client, 从而为用户免除了配置 VPN 连接的负担 要配置您的 Dell SonicWALL 安全设备以支持使用 SonicOS GroupVPN 的 Global VPN Client, 请参见 SonicOS 管理员指南, 获取在您的 Dell SonicWALL 安全设备 (VPN 网关设备 ) 上运行的固件版本信息 Dell SonicWALL Global VPN Client 功能 Dell SonicWALL Global VPN Client 提供了具有以下功能的稳固的 IPsec VPN 解决方案 : 简单易用 - 提供可用于快速安装产品的方便直观的安装向导, 通过指向 - 点击操作即可激活 VPN 连接的方便直观的配置向导, 以及可最大限度减少支持需求的精简型管理工具 多语言支持 - Global VPN Client 用户界面支持英语 简体中文 日语 韩语和巴西葡萄牙语 UI 自动显示为 Windows 显示语言 客户端策略控制 - 仅使用 Dell SonicWALL VPN 网关的 IP 地址或完全限定域名 (FQDN) 即可自动通过安全的 IPsec 隧道从 Dell SonicWALL VPN 网关下载 VPN 配置数据, 从而为远程用户免除了配置 VPN 连接的负担 使用 RADIUS 进行 XAUTH 验证 - 在通过 RADIUS 服务器验证客户端之后, 使用用户验证提供额外的安全保护 VPN 会话可靠性 - 在 Dell SonicWALL VPN 网关发生故障时, 允许进行自动重定向 如果某个 Dell SonicWALL VPN 网关宕机,Global VPN Client 可以通过另一个 Dell SonicWALL VPN 网关继续运行 多子网支持 - 在配置中允许 Global VPN Client 连接多个子网, 以提高联网灵活性 第三方证书支持 - 支持 VeriSign Entrust Microsoft 和 Netscape 认证中心 (CA) 以增强用户验证 全隧道支持 - 通过阻止所有未定向至 VPN 隧道的流量来提供增强的安全性, 从而防范互联网攻击通过 VPN 连接进入企业网络 DHCP over VPN 支持 - 允许跨企业网络 VPN 隧道设置 IP 地址, 同时允许通过 WAN DHCP 使用 ISP 提供的互联网访问 安全的 VPN 配置 - 对用户锁定重要的 Global VPN Client 配置信息, 以防止篡改 AES 和 3DES 加密 - 支持 168 位密钥的 3DES( 数据加密标准 ) 和 AES( 高级加密标准 ), 以获得增强的安全性 AES 要求在 Dell SonicWALL VPN 网关设备上运行 SonicOS 2.0 或更高版本 GMS 管理 - 允许使用 Dell SonicWALL 屡获大奖的全局管理系统 (GMS) 来管理 Global VPN Client 连接 多平台客户端支持 - 支持 32 位和 64 位版本的 Windows 8.1 Windows 8 Windows 7 Windows XP 和 Windows Vista NAT 贯穿 - 启用从任何执行 NAT( 网络地址转换 ) 的设备后端发起 Global VPN Client 连接的功能 Dell SonicWALL Global VPN Client 对 IPsec VPN 流量进行封装并通过广泛部署的 NAT 设备进行传输 利用这些 NAT 设备, 本地网络可以使用一个外部 IP 地址访问整个网络 Dell SonicWALL Global VPN Client 概述 5

6 出错时自动重新连接 - 允许 Global VPN Client 与对端连接出现问题时持续重连 通过此功能, Global VPN Client 可以自动连接暂时禁用的 Dell SonicWALL VPN 网关, 而无需手动介入 面向大规模安装的 Ghost 安装 - 使得 Global VPN Client 的虚拟适配器能够在安装后获得自己的默认地址, 然后创建 ghost 映像 NT 域登录脚本支持 - 允许 Global VPN Client 在建立安全的 IPsec 隧道后执行 Windows NT 域验证 Dell SonicWALL VPN 网关将登录脚本包含在 Global VPN Client 配置中进行传递 通过此功能,VPN 用户可以访问映射的网络驱动器及其他网络服务 双处理器支持 - 使得 Global VPN Client 能够在双处理器计算机上工作 组策略管理 - 可以自定义 Global VPN Client 访问并将其限制为特定的子网访问 ( 需要 SonicOS 增强版 ) 轴幅式 VPN 访问 - 允许从 Dell SonicWALL VPN 网关的 DHCP 服务器到 Global VPN Client 的 IP 寻址, 从而为所有远程 Global VPN Client 配置不同于 LAN 子网的其他子网 这简化了轴幅式 VPN 访问 当 Global VPN Client 成功地与中央站点完成验证时, 它将收到一个虚拟 IP 地址, 该地址也授予了它对其他受信任的 VPN 站点的访问权限 默认 VPN 连接文件 - 使得 SonicOS 管理员能够使用 Global VPN Client 软件来配置和分发企业 VPN 连接, 从而简化了 VPN 客户端的部署 与拨号适配器集成 - 允许将使用 Microsoft 拨号网络或第三方拨号应用程序的 Global VPN Client 连接作为宽带连接的自动备用连接或主连接 实现单一 VPN 连接到任何 Dell SonicWALL 安全无线设备的漫游 - 允许用户使用单一 VPN 连接来访问多个 Dell SonicWALL 安全无线设备构成的网络 从 DNS 自动配置冗余网关 - 将 IPsec 网关域名解析为多个 IP 地址时,Global VPN Client ( 版或更高版本 ) 将使用列表中的 IP 地址作为故障切换网关 隧道状态显示增强 - Global VPN Client 提供关于 VPN 隧道状态的信息 除了显示 启用 禁用 和 已连接 状态外,Global VPN Client 还能指示隧道的 正在验证 正在设置 和 正在连接 等状态 隧道状态弹出窗口 - Global VPN Client 可以在连接隧道或断开隧道连接时显示小的弹出窗口来提醒用户 智能卡和 USB 令牌验证 - Global VPN Client 与 Microsoft 密码应用程序 (MS CryptoAPI 或 MSCAPI) 相集成, 使得 Global VPN Client 能够支持使用智能卡和 USB 令牌中的数字证书进行用户验证 NAT-T RFC 3947 支持 - 允许在 IKE 阶段 1 协商期间沿两个 IKE 对等之间的路径自动检测 NAT 在中间检测到 NAT 时, 使用端口 4500 对数据包进行 UDP 封装 DNS 重定向 - 不在物理适配器上发送针对虚拟适配器所关联的 DNS 后缀的 DNS 查询 全隧道支持增强 - 提供将透明流量路由至直接连接的网络接口的功能 这些网络接口通常在 WLAN 区域中使用, 通过 全路由策略 配置 在建立 VPN 连接时自动启动程序 - 在按照连接属性对话框中指定的配置成功建立 VPN 连接时, 使用可选的参数自动启动某个程序 Global VPN Client 企业版 Global VPN Client 企业版除了增加许可证共享功能以外, 其他功能与 Global VPN Client 相同 关于本指南 Dell SonicWALL Global VPN Client 管理员指南 提供了有关安装 配置和管理 Dell SonicWALL Global VPN 的全套文档 此外, 本指南还提供了 Dell SonicWALL Global VPN Client 企业版的说明信息 6 Dell SonicWALL Global VPN Client 4.9 管理员指南

7 要配置您的 Dell SonicWALL 安全设备以支持使用 SonicOS GroupVPN 的 Global VPN Client, 请参见 SonicOS 管理员指南, 获取在您的 Dell SonicWALL 安全设备 (VPN 网关设备 ) 上运行的固件版本信息 提示如需本手册及其他手册的最新版本, 请访问 本指南中使用的规定 本指南中使用下列规定 : 规定 粗体 斜体 使用 突出显示您在 Global VPN Client 界面或 SonicOS 管理界面中选择的项目 突出显示输入到字段中的值 例如, 在 IP 地址字段中输入 > 指示多步骤菜单选项 例如, 选择文件 > 打开 表示 选择文件菜单, 然后打开文件菜单中的打开菜单项 本指南中使用的图标 小心 表示如果不按说明操作, 可能导致硬件损坏或数据丢失的重要信息 提示关于安全功能和配置的有用信息 注 有助于您更好地使用系统的相关信息 Global VPN Client 入门 本章节提供关于安装 升级和启动 Dell SonicWALL Global VPN Client 的信息 第 8 页安装 Global VPN Client 第 11 页从之前版本升级 Global VPN Client 第 12 页使用 Ghost 应用程序安装 Global VPN Client 第 12 页命令行安装选项 第 13 页启动 Global VPN Client 第 14 页指定 Global VPN Client 启动选项 第 14 页管理 Global VPN Client 系统托盘图标 Global VPN Client 入门 7

8 安装 Global VPN Client Dell SonicWALL Global VPN Client 使用简便易用的向导来指导您完成安装过程 注 在 Windows XP 或更新版本的系统中安装 Global VPN Client 需要管理员权限 Dell SonicWALL Global VPN Client 可在 32 位和 64 位版本的 Windows 8.1 Windows 8 Windows 7 Windows XP 和 Windows Vista 客户端操作系统上运行 所有运行 Gen3(6.6 及更高版本 ) Gen4(1.0 及更高版本 ) Gen5(5.0 及更高版本 ) 和 Gen6 (6.1 及更高版本 )SonicOS 固件版本的 Dell SonicWALL 安全设备都支持 Global VPN Client 提示有关您的 Dell SonicWALL 设备及其 Global VPN Client 许可所支持的 Dell SonicWALL Global VPN Client 连接数的相关信息, 请参见第 41 页 Dell SonicWALL Global VPN Client 许可证 使用设置向导 本章节说明如何使用设置向导来安装 Dell SonicWALL Global VPN Client 程序 注 在安装最新的 Dell SonicWALL Global VPN Client 之前, 请先删除任何已安装的第三方 VPN 客户端程序 注 如果您已安装 或更早版本的 Dell SonicWALL Global VPN Client, 则必须先卸载该版本才能安装 4.9.x 版本 要使用设置向导, 请执行以下步骤 : 1. 从 MySonicWALL 下载自解压安装程序 GVCSetupXX.exe( 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64) 后, 双击 GVCSetupXX.exe 启动设置向导 8 Dell SonicWALL Global VPN Client 4.9 管理员指南

9 2. 单击下一步继续安装 VPN Client 3. 在许可证协议界面, 选择同意, 然后单击下一步 4. 在安装文件夹选择界面, 可以选择单击浏览来指定自定义安装位置 5. 单击磁盘开销按钮查看磁盘空间要求 6. 在为自己还是为所有使用该计算机的人安装 Global VPN Client 下面选择任何人或只有我, 然 后单击下一步 7. 下一界面指示安装程序已准备好开始安装 单击下一步 Global VPN Client 入门 9

10 8. 等待将 Dell SonicWALL Global VPN Client 文件安装到您的计算机上 9. 下一界面指示安装状态 单击关闭退出向导 10. 成功安装后, 将自动启动 Global VPN Client 如果您在卸载之前版本的 Dell SonicWALL Global VPN Client 时保存了其连接配置,Global VPN Client 在启动时将不显示提示, 并且您的默认连接会提示您输入登录凭据 如果没有之前的连接, 则将自动启动新建连接向导 此向导仅在 Global VPN Client 首次启动时显示 有关更多信息, 请参见第 16 页使用新建连接向导创建 VPN 连接 10 Dell SonicWALL Global VPN Client 4.9 管理员指南

11 提示您可以在 视图 > 选项 页面的 常规 选项卡中将 Global VPN Client 配置为在您每次登录计算机时自动启动 有关更多信息, 请参见第 14 页指定 Global VPN Client 启动选项 从之前版本升级 Global VPN Client Dell SonicWALL Global VPN Client 支持从 4.9.x 版升级至更高版本, 而无需先卸载之前的版本 注 如果您已安装 或更早版本的 Dell SonicWALL Global VPN Client, 则必须先卸载该版本才能安装 4.9.x 版本 4.9.x 安装程序不允许从 或更早版本升级 在升级过程中, 将会保留您所配置的连接和虚拟 MAC 地址 设置向导不会要求您确认许可证协议 安装位置或其他设置问题, 而是使用您在前一次安装过程中提供的信息 升级至最新版 Dell SonicWALL Global VPN Client: 1. 从 MySonicWALL 下载自解压安装程序 GVCSetupXX.exe( 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64) 后, 双击 GVCSetupXX.exe 启动设置向导 2. 单击是继续升级过程 向导使用前一次安装的设置安装 Global VPN Client 3. 安装完成后, 单击是重启计算机, 或者单击否稍后再重启计算机 注 在计算机重启之前, 升级将不会生效 Global VPN Client 入门 11

12 使用 Ghost 应用程序安装 Global VPN Client 使用 ghost 应用程序时的安装过程与正常安装过程相同 在安装 Global VPN Client 应用程序之后, 对其执行 ghost 操作 之前, 切勿打开 Global VPN Client 完成 ghost 安装后 首次 启动 Global VPN Client 时, 它会为 Dell SonicWALL VPN 适配器随机创建一个唯一的 MAC 地址 小心 如果您在使用 ghost 之前 打开 Global VPN Client, 则每个 ghost 安装的 Dell SonicWALL VPN 适配器都会获得相同的 MAC 地址, 从而造成网络冲突 命令行安装选项 要安装 Dell SonicWALL Global VPN Client, 也可使用以下命令行选项 所有选项都不区分大小写, 并且必须使用斜杠 (/) 开头 可使用以下选项 : Q 静默模式 正常 ( 非静默 ) 的 Dell SonicWALL Global VPN Client 安装会以响应对话框的方式接收必要的用户输入信息 但静默安装不提示用户提供任何输入信息, 而是使用每个选项的默认值 只需输入以下命令即可, 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64: GVCSetupXX.exe /q T 指定用于放置在安装过程中生成的所有临时文件的临时工作文件夹 T 选项后面必须跟随冒号 (:) 以及想要使用的文件夹的完整路径 例如, 输入以下命令 : GVCSetupXX.exe /t:c:\temporaryfiles C 将从安装包中提取的所有文件 (MSI 安装程序文件 ) 放入 T 选项中指定的文件夹 C 选项只有在与 T 选项配合使用时才有效 例如, 输入以下命令之一 : GVCSetupXX.exe /c /t:c:\temporaryfiles GVCSetupXX.exe /T:C:\TemporaryFiles /c 12 Dell SonicWALL Global VPN Client 4.9 管理员指南

13 启动 Global VPN Client 要启动 Dell SonicWALL Global VPN Client, 请选择开始 > 程序 > Global VPN Client 如果单击 X 按 Alt+F4 或选择文件 > 关闭,Global VPN Client 窗口将会关闭, 但您所建立的 VPN 连接将会保持活动状态 随即显示消息对话框, 通知您在关闭窗口之后,Global VPN Client 程序及所有已启用的连接都将保持活动状态 如果您不希望在每次关闭 Global VPN Client 窗口时显示此通知消息, 请选择以后不再显示, 然后单击确定 您可以通过双击系统托盘中的 Global VPN Client 图标, 或者右键单击该图标并选择打开 Global VPN Client 来打开 Global VPN Client 窗口 小心 通过系统托盘图标菜单退出 Dell SonicWALL Global VPN Client 将会禁用所有活动的 VPN 连接 提示您可以更改 Dell SonicWALL Global VPN Client 的默认启动设置 更多信息, 请参见第 14 页指定 Global VPN Client 启动选项 提示您可以创建快捷方式, 以便从桌面 任务栏或开始菜单自动启动 Global VPN Client 窗口和执行 VPN 连接 更多信息, 请参见第 24 页创建连接快捷方式 提示您可以从命令行启动 Global VPN Client 更多信息, 请参见第 48 页附录 B - 使用 Global VPN Client CLI Global VPN Client 入门 13

14 指定 Global VPN Client 启动选项 您可以使用选项对话框常规选项卡中的控件来指定 Dell SonicWALL Global VPN Client 的启动方式以及所显示的通知窗口 选择视图 > 选项以显示选项对话框 常规选项卡包含下列用于控制 Global VPN Client 启动的设置 : 登录时启动此程序 - 在您登录计算机时启动 Dell SonicWALL Global VPN Client 启用该连接阻止 Internet 流量前警告我 激活一条连接警告消息通知您,VPN 连接将会阻止本地互联网和网络流量 下次启动程序时记住上次的窗口状态 ( 关闭或打开 )- 允许 Global VPN Client 在程序下次启动时记住上次的窗口状态 ( 打开或关闭 ) 例如, 用户可以从系统托盘启动 Global VPN Client, 而无需在桌面上打开窗口 关闭连接窗口时 - 指定 Global VPN Client 在关闭窗口时的行为 有三个选项, 包括 : 最小化窗口 ( 从任务栏还原 )- 将窗口最小化到任务栏并且从任务栏恢复窗口 隐藏窗口 ( 从托盘图标重新打开 )- 默认设置, 在关闭 Global VPN Client 窗口时将窗口隐藏 可以通过系统托盘中的程序图标打开 Global VPN Client 启用此设置还将显示我隐藏连接窗口时显示通知复选框 我隐藏连接窗口时显示通知 - 选中此复选框后, 任何时候在程序仍处于运行状态时关闭 Global VPN Client 窗口, 都会激活 SonicWALL Global VPN Client 隐藏通知窗口 此消息告知您,Global VPN Client 程序将在您关闭 ( 隐藏 ) 窗口后继续运行 管理 Global VPN Client 系统托盘图标 在启动 Global VPN Client 窗口时, 程序图标会出现在任务栏的系统托盘中 此图标提供了程序和 VPN 连接的状态指示器, 以及包含常用 Dell SonicWALL Global VPN Client 命令的菜单 右键单击系统托盘中的 Global VPN Client 图标将显示用于管理程序的选项菜单 打开 Global VPN Client - 打开程序窗口 启用 - 显示可以启用的 VPN 连接菜单 禁用 - 显示可以禁用的 VPN 连接菜单 14 Dell SonicWALL Global VPN Client 4.9 管理员指南

15 打开日志查看器 - 打开日志查看器以查看信息消息和错误消息 有关日志查看器的更多信息, 请参见第 36 页了解 Global VPN Client 日志 打开证书管理器 - 打开证书管理器 有关证书管理器的更多信息, 请参见第 34 页管理证书 退出 - 退出 Global VPN Client 窗口并禁用所有活动的 VPN 连接 将鼠标指针移到系统托盘中的 Global VPN Client 图标上面将会显示已启用的 VPN 连接数量 系统托盘中的 Global VPN Client 图标还充当了 Global VPN Client 与 Dell SonicWALL 网关之间的可视化数据传输指示器 添加 VPN 连接 添加新的 VPN 连接很简单, 因为 Dell SonicWALL 的客户端策略控制会自动提供与本地或远程网络建立安全连接所需的全部配置信息 这就为 Global VPN Client 用户免除了配置 VPN 连接参数的负担 可以使用三种方法创建 VPN 连接 : 使用新建连接向导将 VPN 策略从 Dell SonicWALL VPN 网关下载至 Global VPN Client 此向导将指导您完成查找配置信息源的过程, 并自动通过安全的 IPsec VPN 隧道下载 VPN 配置信息 将 VPN 策略文件导入 Dell SonicWALL Global VPN Client VPN 策略将以.rcf 文件的形式发送给您, 您可以使用导入连接对话框来安装策略 将 default.rcf 文件包含在 Global VPN Client 软件安装中进行安装, 或者在安装 Global VPN Client 后添加该文件 如果 Dell SonicWALL VPN 网关管理员已将 default.rcf 文件包含在 Global VPN Client 软件中, 则在安装好程序时会自动创建一个或多个预配置的 VPN 连接 注 通过创建 default.rcf 文件并使用 Global VPN Client 软件进行分发,Dell SonicWALL VPN 网关管理员可以简化 VPN 客户端的部署, 并让用户快速建立 VPN 连接 如果下载的 Global VPN Client 软件中包含 default.rcf 文件, 则在安装客户端软件时, 将使用 Dell SonicWALL VPN 网关管理员所配置的 VPN 策略自动创建连接 有关创建 default.rcf 文件的更多信息, 请参见第 42 页附录 A - 在 Global VPN Client 中使用 Default.rcf 文件 注 使用 GroupVPN 配置 Dell SonicWALL 设备可以加速 Global VPN Client 的自动设置 有关使用 GroupVPN 配置设备的说明, 请参见 SonicOS 管理员指南 注 有关将证书导入 Global VPN Client 的说明, 请参见第 34 页使用证书 了解 VPN 连接 利用 Global VPN Client 可以同时配置多个连接 ( 不论从多个网关进行设置还是从一个或多个文件进行导入 ) 由于可以从多个网关设置连接, 因此每个连接都显式声明了在任何连接策略冲突时允许的行为 您可能具有这样的 VPN 连接 : 在启用 VPN 策略时不允许其他 VPN 连接或互联网和网络连接 VPN 连接策略包含建立连接到网关的安全 IPsec 隧道所需的全部参数 连接策略包含阶段 1 和阶段 2 安全关联 (SA) 参数, 包括 : 加密和验证建议 阶段 1 身份有效负载类型 阶段 2 代理 ID( 流量选择器 ) 客户端阶段 1 凭据 添加 VPN 连接 15

16 存在其他活动连接时允许的连接行为 客户端缓存行为 使用新建连接向导创建 VPN 连接 以下说明介绍了如何使用新建连接向导来从本地或远程 Dell SonicWALL VPN 网关自动下载用于 Global VPN Client 的 VPN 连接策略 1. 选择开始 > 程序 > Global VPN Client 首次打开 Dell SonicWALL Global VPN Client 时会自动启动新建连接向导 2. 如果没有显示新建连接向导, 请单击 新建连接 按钮 来启动新建连接向导 3. 单击下一步 4. 在下一界面中的 IP 地址或域名字段中输入网关的 IP 地址或 FQDN 您在 IP 地址或域名字段中输入的信息将会出现在连接名称字段中 如果您需要为您的连接使用其他名称, 请在连接名称字段中输入您的 VPN 连接的新名称 单击下一步 16 Dell SonicWALL Global VPN Client 4.9 管理员指南

17 5. 在完成 新建连接向导 页面中, 选择以下任意选项或者不选择任何选项 : 如果想要在桌面上创建此 VPN 连接的快捷方式, 请选择创建此连接的桌面快捷方式 如果想要在您启动 Dell SonicWALL Global VPN Client 时自动建立此 VPN 连接, 请选择启动程序时启用该连接 6. 单击完成 新的 VPN 连接将会出现在 Global VPN Client 窗口中 导入 VPN 配置文件 Dell SonicWALL VPN 网关管理员可以以文件方式创建 VPN 连接并发送给您 此 VPN 配置文件具有文件扩展名.rcf 如果您从管理员那里收到 VPN 连接文件, 您可以使用导入连接对话框来安装该文件 VPN 策略文件采用 XML 格式, 以提供更高效的策略信息编码 由于该文件可以加密, 因此也可以将预共享密钥导出到其中 加密方法是在 RSA 实验室提供的基于 PKCS#5 密码的加密标准中规定的, 并且使用三重 DES 加密算法和 SHA-1 消息摘要算法 注 如果从 Dell SonicWALL 设备中导出的.rcf 文件已经加密, 则必须获得密码才能将配置文件导入到 Global VPN Client 中 以下说明介绍了如何通过导入由您的网关管理员提供的连接文件来添加 VPN 连接 1. 选择开始 > 程序 > Global VPN Client 添加 VPN 连接 17

18 2. 选择文件 > 导入 随即显示导入连接对话框 3. 在指定要导入的配置文件的名称字段中输入配置文件的文件路径, 或者单击 浏览... 按钮查找 该文件 4. 如果该文件已经加密, 则在如果文件已加密, 请指定密码字段中输入密码 5. 单击确定 配置拨号 VPN 连接 可以使用拨号互联网连接来建立您的 VPN 连接 您可以配置 VPN 连接以使用 Microsoft 拨号网络电话簿条目或第三方拨号应用程序 也可以使用拨号连接作为您的 VPN 连接在宽带互联网连接被禁用时的自动后备 注 在配置拨号 VPN 连接之前, 确保您已使用 Microsoft 拨号网络或第三方拨号应用程序创建拨号连接配置文件 1. 使用新建连接向导创建 VPN 连接或者使用现有的 VPN 连接 2. 右键单击 VPN 连接并从菜单中选择属性 随即显示属性对话框 3. 单击对等选项卡 18 Dell SonicWALL Global VPN Client 4.9 管理员指南

19 4. 单击编辑 随即显示对等信息对话框 5. 如果您希望 Global VPN Client 基于可用性自动确定使用 LAN 还是拨号接口, 请使用接口选择菜单中的默认选项自动 如果已激活 LAN 接口,Global VPN Client 将首先使用此接口 如果 LAN 接口不可用,Global VPN Client 将使用拨号连接 如果您希望此 VPN 连接使用拨号连接, 请从接口选择菜单中选择仅拨号 6. 单击拨号设置 随即显示拨号设置对话框 7. 如果您正在使用 Microsoft 拨号网络, 请选择使用 Microsoft 拨号网络, 然后从电话簿条目列表中选择拨号网络配置文件 8. 如果您希望在禁用 Global VPN Client 后继续连接互联网, 请选择禁用该连接时请勿挂起调制解调器 9. 如果您正在使用第三方拨号应用程序, 请选择使用第三方拨号应用程序, 然后在应用程序字段中输入该程序的路径, 或者单击 浏览... 查找该程序 10. 单击三次确定, 返回至 Global VPN Client 窗口 添加 VPN 连接 19

20 从其他工作站使用 Global VPN Client 使用 Dell SonicWALL Global VPN Client 连接 Microsoft 网络具有某些限制 通常情况下, 当计算机连接至 Microsoft 网络时, 它具有到用于验证用户凭据的域控制器的持续网络连接 当域控制器验证完用户凭据时, 计算机随即创建一个在本地缓存的配置文件 在域控制器不可用时将使用该配置文件 但是,Dell SonicWALL Global VPN Client 是在互联网上提供连回到包含域控制器的 Microsoft 网络的临时安全网络连接, 因此不是持续连接 由于在 Dell SonicWALL Global VPN Client 提供连接之前, 远程计算机无法连接到域控制器来验证登录凭据, 因此除非有可用的本地缓存配置文件, 否则登录将会失败 以下步骤描述了典型的问题状况 : 1. 必须建立 Global VPN Client 会话才能与 Microsoft 域控制器进行远程通信 2. Global VPN Client 在您登录到工作站之后才能启动 由于在您登录之前无法连接 Global VPN Client, 因此在首次登录时, 您无法使用它进行域登录 3. 如果您之前登录过该工作站, 则存在用于登录的本地缓存配置文件 a. 然后, 您可以启动 Global VPN Client 并建立域连接 b. 连接到域之后, 您可以运行登录脚本, 更改密码, 访问域资源等等 c. 在您注销时,Global VPN Client 将会终止, 并且停止域通讯 4. 如果您之前从未登录过该工作站, 则不存在本地缓存的配置文件, 因此无法登录 由于注销操作 ( 步骤 3c) 会终止 Dell SonicWALL Global VPN Client, 因此根据历史记录, 它会阻止其他用户登录和创建新的本地缓存配置文件 这会造成不希望出现的效果, 即只有具有预先存在的 ( 在本地缓存的 ) 配置文件的用户才能通过 Global VPN Client 登录 针对此问题的标准解决方法是先在本地连接到域控制器, 然后使用每个预期会使用 Dell SonicWALL Global VPN Client 的帐户执行登录 此操作将为每个帐户创建一个本地缓存的配置文件, 这样无需连接域控制器即可实现客户端登录 这种解决方法造成的不利结果是, 在计算机上没有缓存的配置文件的用户除非曾在包含域控制器的网络中短时逗留, 否则将无法登录 在某些情况下, 这可能非常麻烦, 例如在用户位于 Dumont d' Urville 研究工作站, 并尝试返回位于 Svalbard 的总部时 解决方法 强制创建新的本地缓存配置文件 该解决方法是创建一个引导本地配置文件, 然后使用 Dell SonicWALL Global VPN Client 登录到 Microsoft 域 为此, 请执行以下步骤 : 1. 使用任何本地缓存的配置文件 ( 例如 mydomain\user1 或本地计算机帐户 ) 登录到工作站 本地缓存的配置文件通常存储在 C:\Documents and Settings 目录中 在此路径中, 您应该看到一个名为 user1 的文件夹, 其中包含了 user1 的配置文件 2. 启动 Dell SonicWALL Global VPN Client 3. 在 Dell SonicWALL Global VPN Client 建立连接并且工作站可以与域控制器通信之后, 您可以创建另一个本地缓存的配置文件 您可以在使用 user1 提供的 Global VPN Client 连接的同时, 使用 runas 命令来为新用户 ( 例如 mydomain\user2) 创建本地缓存的配置文件 4. 在命令提示符后面输入 :runas /user:mydomain\user2 explorer.exe( 将 mydomain 替换为您的实际域名, 将 user2 替换为实际用户名 ) 您也可以使用 notepad.exe 代替 explorer.exe 5. 在提示符后面, 输入 user2 的域密码 6. 为 user2 创建本地配置文件和启动 explorer.exe 程序可能需要几秒钟到几分钟不等 在 explorer.exe 程序启动后, 您可以退出该程序 7. C:\Documents and Settings 目录现在应该包含 user2 的文件夹 20 Dell SonicWALL Global VPN Client 4.9 管理员指南

21 8. 关闭 Global VPN Client 并从工作站中注销 user1 您将看到熟悉的登录 Windows 对话框 9. 使用新创建的本地缓存配置文件, 以 user2 身份登录到工作站 10. 启动 Dell SonicWALL Global VPN Client user2 配置文件现在将为所有域访问 ( 包括运行登录脚本 ) 提供凭据 11. 您可以根据需要重复此过程, 以创建更多配置文件 12. 如果您有另一个可用来将 Global VPN Client 连回域控制器的帐户, 也可以使用此过程来更改过期的用户密码 一种更改密码的简单方法是使用 Windows 安全对话框 ( 可通过按 Ctrl+Alt+Delete 访问 ) 在该对话框中, 单击更改密码 随即弹出 更改密码 对话框, 您可以在其中更改过期的密码 执行 VPN 连接 从 Global VPN Client 执行 VPN 连接非常简单, 因为配置信息是由 Dell SonicWALL VPN 网关进行管理的 SonicOS(VPN 网关 ) 管理员会通过参数来设置允许和不允许使用 VPN 连接执行的操作 例如, 出于安全的原因, 管理员可能不允许多个 VPN 连接, 或者不允许在启用 VPN 连接的同时访问互联网或本地网络 Global VPN Client 支持两种 IPsec 验证模式 : 使用共享密钥的 IKE 使用第三方证书的 IKE 共享密钥是最常用的 IPsec 验证模式 如果您的 VPN 连接策略使用第三方证书, 您可以使用证书管理器来配置 Global VPN Client 使用数字证书 预共享密钥 ( 也称为共享密钥 ) 是 VPN 隧道的两个端点用来建立 IKE( 互联网密钥交换 ) 安全关联的预定义密码 此字段可以是任意字母数字字符组合, 最小长度为 4 个字符, 最大长度为 128 个字符 预共享密钥通常配置为 Global VPN Client 设置的一部分 如果没有配置, 在您登录远程网络之前, 系统会提示您输入预共享密钥 访问冗余 VPN 网关 Global VPN Client 支持冗余 VPN 网关, 方法是在 VPN 连接的属性窗口的对等页面中手动添加对等网关 Global VPN Client 增加了在将 IPsec 网关的域名解析为多个 IP 地址时自动支持冗余 VPN 网关的功能 例如, 如果将 gateway.yourcompany.com 解析为 和 ,Global VPN Client 将循环查找这些解析的 IP 地址, 直至找到响应的网关为止, 因而可以将多个 IP 地址用作故障切换网关 如果解析的所有 IP 地址都未能响应, 并且已在 VPN 连接的属性对话框的对等页面中指定了另一个对等网关, 则 Global VPN Client 将切换至下一个对等网关 更多信息, 请参见第 29 页连接属性对等设置 注 在配置冗余 VPN 网关时, 如果将网关的 FQDN 解析为多个 IP 地址, 则每个网关的组 VPN 策略属性 ( 例如预共享密钥和 对等信息 窗口中的属性 ) 都必须相同 但如果是在 对等 页面中设置多个对等网关, 则每个对等网关都可以有自己的设置 执行 VPN 连接 21

22 启用 VPN 连接 使用 Dell SonicWALL Global VPN Client 启用 VPN 连接是一个透明的两阶段过程 阶段 1 启用连接, 以完成 ISAKMP( 互联网安全关联和密钥管理协议 ) 协商 阶段 2 为 IKE( 互联网密钥交换 ) 协商, 以建立用于发送和接收数据的 VPN 隧道 在启用 VPN 连接时,Global VPN Client 窗口的 状态 列中将显示下列信息 : 1. 禁用变为正在连接 2. 在显示输入用户名 / 密码对话框时, 正在连接变为正在验证 3. 在用户输入用户名和密码时, 正在验证变为正在连接 4. 正在连接变为正在设置 5. 完全建立 VPN 连接后, 正在设置立即变为已连接 VPN 连接图标上随即显示绿色复选标记 建立 VPN 连接之后,Global VPN Client 系统托盘图标将会显示弹出通知 其中显示了连接名称 连接到的 IP 地址以及虚拟 IP 地址 如果在 VPN 连接期间发生错误, 状态栏中将会显示错误,VPN 连接图标中也会显示错误标记 ( 红色 X) 未能成功完成所有阶段 2 连接的 VPN 连接将会在连接图标中显示黄色警告符号 注 如果 Global VPN Client 没有建立 VPN 连接, 您可以使用日志查看器来查看错误消息, 以便解决此问题 更多信息, 请参见第 36 页了解 Global VPN Client 日志 要使用 Global VPN Client 建立 VPN 连接, 请按照下列说明操作 1. 使用以下方法之一启用 VPN 连接 : 如果您在新建连接向导中选择了启动程序时启用该连接, 则在您启动 Dell SonicWALL Global VPN Client 时会自动建立该 VPN 连接 如果在您启动 Global VPN Client 时没有自动建立 VPN 连接, 请选择以下方法之一来启用 VPN 连接 : 双击 VPN 连接 右键单击 VPN 连接图标并从菜单中选择启用 选择 VPN 连接, 然后按 Ctrl+B 选择 VPN 连接, 然后单击工具栏中的启用按钮 选择 VPN 连接, 然后选择文件 > 启用 如果系统托盘中显示了 Global VPN Client 图标, 右键单击该图标, 然后选择启用 > 连接名称 Global VPN Client 将会启用该 VPN 连接, 而无需打开 Global VPN Client 窗口 2. 根据 VPN 连接的配置, 可能显示无法启用连接 输入共享密钥 输入用户名和密码以及连接警告等对话框, 在接下来的章节中将会介绍这些对话框 22 Dell SonicWALL Global VPN Client 4.9 管理员指南

23 建立多个连接 您可以一次启用多个连接, 具体取决于在 VPN 网关设定的连接参数 如果您尝试启用后续 VPN 连接, 但是当前 VPN 连接策略不允许建立多个 VPN 连接, 则将显示无法启用连接消息, 提示您由于当前激活的 VPN 策略不允许多个活动的 VPN 连接, 因此无法进行 VPN 连接 在启用新的 VPN 连接之前, 必须先禁用当前已启用的 VPN 连接 输入预共享密钥 根据 VPN 连接的属性, 如果不使用默认的预共享密钥, 则必须获得网关管理员提供的预共享密钥才能进行 VPN 连接 如果没有在连接策略下载或文件中包含默认的预共享密钥, 则在建立 VPN 连接之前会显示输入预共享密钥对话框, 提示您输入预共享密钥 1. 在预共享密钥字段中输入您的预共享密钥 出于安全考虑将会隐藏预共享密钥 2. 如果您想要确认是否输入了正确的预共享密钥, 请选择请勿隐藏预共享密钥 您输入的预共享 密钥将以非隐藏方式显示在预共享密钥字段中 3. 单击确定 执行 VPN 连接 23

24 选择证书 如果 Dell SonicWALL VPN 网关要求提供数字证书来确定您的 VPN 连接身份, 则会显示选择证书对话框 此对话框将列出在您的 Global VPN Client 中安装的所有可用证书 从菜单中选择证书, 然后单击确定 如果您有尚未使用证书管理器导入 Global VPN Client 的证书, 请单击导入证书 注 有关使用证书管理器的更多信息, 请参见第 34 页管理证书 用户名和密码验证 VPN 网关通常指定使用 XAUTH 来确定 GroupVPN 策略成员资格, 方法是要求提供用户名和密码, 以便对照网关的内部用户数据库或通过外部 RADIUS 服务进行验证 如果 Dell SonicWALL VPN 网关已设置为提示您输入用户名和密码以便进入远程网络, 则会显示输入用户名和密码对话框 输入您的用户名和密码 如果网关允许, 选择记住用户名和密码来缓存您的用户名和密码, 以便在未来的 VPN 连接中自动登录 单击确定继续建立您的 VPN 连接 创建连接快捷方式 要简化启用 VPN 连接的过程, 您可以将 VPN 连接放置在桌面 任务栏或开始菜单中 也可以将连接放置在系统中的其他任何位置 创建快捷方式 : 1. 在 Global VPN Client 窗口中选择要为其创建快捷方式的 VPN 连接 2. 选择文件 > 创建快捷方式, 然后选择需要的快捷方式选项 您可以选择在桌面上 在任务栏中 在开始菜单中, 或者选择一个位置 也可以右键单击 VPN 连接, 然后选择创建快捷方式 > 快捷方式选项 提示您可以为 Dell SonicWALL Global VPN Client 程序创建桌面快捷方式, 以方便访问您的所有连接 24 Dell SonicWALL Global VPN Client 4.9 管理员指南

25 连接警告 如果 VPN 连接策略仅允许流向网关的流量, 则会显示连接警告消息, 提醒您只允许目的地为 VPN 隧道另一端的远程网络的网络流量 目的地为本地网络接口和互联网的所有网络流量都将被阻止 您可以通过选中如果是, 将不再显示此对话框选项来禁止每次启用 VPN 连接时显示连接警告消息 单击是继续建立您的 VPN 连接 查看 VPN 连接的状态 Dell SonicWALL Global VPN Client 包含各种指示器来确定 VPN 连接的状态 Global VPN Client 主窗口中列出了您的 VPN 连接及各自的状态 : 禁用 启用 已连接或错误 策略图标上的绿色复选标记指示已成功连接的 VPN 策略 未能成功完成所有阶段 2 连接的 VPN 策略将会在策略图标中显示黄色警告 无法成功连接的 VPN 策略将在策略图标中显示错误标记 ( 红色 X) 系统托盘中的 Global VPN Client 图标显示了 Global VPN Client 与网关之间的可视化数据传输指示器 属性对话框中的状态页面中显示了关于活动 VPN 连接状态的更多详细信息 要显示任何 VPN 连接的状态选项卡, 请使用下列方法之一 : 双击活动的 VPN 连接 选择 VPN 连接, 然后按 Ctrl+T 选择 VPN 连接, 然后单击工具栏中的状态按钮 查看 VPN 连接的状态 25

26 右键单击 Global VPN Client 窗口中的 VPN 连接, 然后选择状态 提示有关状态页面的更多信息, 请参见第 32 页连接属性状态设置 禁用 VPN 连接 禁用 VPN 连接将会终止 VPN 隧道 您可以使用以下任意方法来禁用 VPN 连接 : 右键单击 Global VPN Client 窗口中的 VPN 连接, 然后选择禁用 右键单击系统托盘中的 Global VPN Client 图标, 然后选择禁用 > 连接 右键单击 Global VPN Client 窗口中的 VPN 连接, 然后选择禁用 选择连接, 然后按 Ctrl+B 选择连接, 然后单击 Global VPN Client 窗口工具栏中的禁用按钮 配置 VPN 连接属性 连接属性对话框中包含用于配置特定 VPN 连接配置文件的控件 要打开连接属性对话框, 请选择以下方法之一 : 选择连接, 然后选择文件 > 属性 右键单击连接, 然后选择属性 选择连接, 然后单击 Global VPN Client 窗口工具栏中的属性按钮 连接属性对话框中包含常规 用户验证 对等和状态选项卡 26 Dell SonicWALL Global VPN Client 4.9 管理员指南

27 连接属性常规设置 连接属性对话框中的常规选项卡包含下列设置 : 名称 - 显示您的 VPN 连接名称 描述 - 显示关于连接的弹出文本 在将鼠标指针移至 VPN 连接上面时会显示该文本 对等定义的网络设置 - 定义全隧道支持的状态 这些设置在 Dell SonicWALL VPN 网关中控制 允许的其他流量 - 如果启用, 您的计算机可以在 VPN 连接激活时访问本地网络或互联网连接 通过隧道流向对等设备的默认流量 - 如果激活, 所有未路由至 Dell SonicWALL VPN 网关的网络流量都将被阻止 如果已激活此功能, 在启用 VPN 连接时, 将会显示连接警告消息 使用虚拟 IP 地址 - 允许 VPN 客户端通过 DHCP 和 VPN 隧道从网关获取其 IP 地址 启动程序时启用该连接 - 在您启动 Dell SonicWALL Global VPN Client 时建立该 VPN 连接作为默认 VPN 连接 启用连接后立即建立安全性 - 在启用连接后立即协商第一阶段 IKE, 而不是等待开始传输网络流量 默认启用该设置 出错时自动重新连接 - 启用此功能后, 如果 Global VPN Client 在连接对等客户端时遇到问题, 它将不断重新尝试连接 通过此功能,Global VPN Client 可以自动连接暂时禁用的 VPN 连接, 而无需手动介入 如果由于错误的配置而导致连接错误, 例如对等网关的 DNS 或 IP 地址错误, 则必须手动更正该连接 查看日志查看器以确定该问题, 然后编辑连接 默认启用该选项 禁用此选项后, 如果在尝试连接的过程中发生错误,Global VPN Client 将会记录该错误, 显示错误消息对话框, 并且停止连接尝试 从睡眠或休眠模式中唤醒时自动重新连接 - 在计算机从睡眠或休眠状态唤醒后自动重新启用 VPN 连接 默认禁用该设置 建立连接后执行登录脚本 - 登录到 Dell SonicWALL VPN 网关并建立安全隧道后, 执行在登录脚本中配置的任何操作 建立连接后运行以下命令 - 在成功建立 VPN 连接时, 允许使用可选的参数自动执行程序 配置 VPN 连接属性 27

28 连接属性用户验证设置 用户验证页面用于在网关需要用户验证时指定用户名和密码 如果 Dell SonicWALL VPN 网关不支持保存 ( 缓存 ) 用户名和密码, 则不会激活此页面中的设置, 并且会在页面底部显示消息对等设备不允许保存用户名和密码 记住我的用户名和密码 - 启用保存用户名和密码以便连接 Dell SonicWALL VPN 网关的功能 用户名 - 输入由您的网关管理员提供的用户名 密码 - 输入由您的网关管理员提供的密码 28 Dell SonicWALL Global VPN Client 4.9 管理员指南

29 连接属性对等设置 利用对等页面, 您可以指定此连接可以使用的 VPN 对等网关顺序列表 ( 存在多个条目将允许通过多个 VPN 网关建立 VPN 连接 ) 系统将按照给定的 VPN 对等网关在列表中出现的顺序尝试与之建立 VPN 连接 要添加对等条目, 请单击添加 在对等信息对话框中的 IP 地址或 DNS 名称框中输入 IP 地址或 DNS 名称, 然后单击确定 要编辑对等条目, 请选择对等名称, 然后单击编辑 在对等信息对话框中完成更改, 然后单击确定 要更改对等列表的顺序, 请选择一个对等名称, 然后单击上移或下移 要删除对等条目, 请选择该对等条目, 然后单击删除 配置 VPN 连接属性 29

30 对等信息对话框 利用对等信息对话框, 可以添加或编辑对等信息 IP 地址或 DNS 名称 - 指定对等 VPN 网关的 IP 地址或 DNS 名称 使用默认网关作为对等 IP 地址 - 指定将默认网关作为对等 IP 地址 Global VPN Client 从路由表中获取默认网关 响应超时 - 指定等待已发送数据包的响应的最大时间量 经过该时间之后, 已发送的数据包将被视为丢失, 并且重新发送该数据包 有效范围为 1-10 秒 最大尝试次数 - 指定在确定对等设备不响应之前发送同一数据包的最大次数 有效范围为 1-10 次尝试 死对等检测 - 提供三项设置 : 自动 - 它是基于流量的死对等检测 如果 Global VPN Client 没有收到响应数据 ( 单向流量 ),Global VPN Client 将会交换心跳数据包, 以检测对等网关是否存活 如果经过在 DPD 设置中配置的失败检查次数后仍未收到心跳数据包响应,Global VPN Client 将尝试重新发起 IKE 协商 默认启用该设置 强制打开 - 定期执行死对等检测 Global VPN Client 将会交换心跳数据包, 以检测对等网关是否存活 如果经过在 DPD 设置中配置的失败检查次数后仍未收到心跳数据包响应, Global VPN Client 将尝试重新发起 IKE 协商 禁用 - 禁用死对等检测 不交换心跳数据包 这将阻止 Global VPN Client 在网关不可用时执行检测 30 Dell SonicWALL Global VPN Client 4.9 管理员指南

31 DPD 设置 - 显示死对等检测设置对话框 死对等检查频率 - 选择 或 30 秒 假定以下时间后出现死对等现象 - 选择 3 4 或 5 次失败的检查 NAT 穿越 - 选择以下三个菜单选项之一 : 自动 - 自动确定是否对对等设备之间的 IPsec 数据包使用 UDP 封装 强制打开 - 强制对 IPsec 数据包使用 UDP 封装, 即使对等设备之间不存在 NAPT/NAT 设备亦如此 禁用 - 禁止对对等设备之间的 IPsec 数据包使用 UDP 封装 接口选择 - 定义此 VPN 连接所用的接口 自动 - 从 LAN 接口开始, 自动确定每个接口的可用性 如果 LAN 接口不可用,Global VPN Client 将使用拨号接口 仅 LAN - 默认设为仅 LAN 接口 仅拨号 - 默认设为仅拨号接口 LAN 设置 - 显示 LAN 设置对话框, 指定在 LAN 上启用此连接时使用的设置 在下一个跃点 IP 地址字段中输入 IP 地址, 以指定与默认路由不同的路由的下一跃点 IP 地址 该设置保留为零表示 Global VPN Client 将使用默认路由 拨号设置 - 显示拨号设置对话框, 利用该对话框, 可以选择在进行拨号 VPN 连接时使用的拨号配置文件 使用 Microsoft 拨号网络 - 使用您所指定的 Microsoft 拨号网络配置文件进行 VPN 连接 从电话簿条目列表中选择拨号网络配置文件 选择禁用该连接时请勿挂起调制解调器将在禁用 VPN 连接后继续使拨号网络连接保持活动状态 使用第三方拨号应用程序 - 选择此选项以使用第三方拨号程序 在应用程序字段中输入路径或使用 浏览... 按钮查找该程序 配置 VPN 连接属性 31

32 连接属性状态设置 状态页面显示了连接的当前状态 连接 状态 - 指示已启用还是禁用 VPN 连接 对等 IP 地址 - 显示 VPN 连接对等设备的 IP 地址 持续时间 - 显示连接时间 32 Dell SonicWALL Global VPN Client 4.9 管理员指南

33 详细信息 - 显示连接状态详细信息对话框, 其中指定了已协商的阶段 1 和阶段 2 参数, 以及所有个别阶段 2 SA 的状态 活动 数据包数 - 显示已通过 VPN 隧道发送和接收的数据包数量 字节数 - 显示已通过 VPN 隧道发送和接收的字节数量 重置 - 将数据包数和字节数重置为零, 并且立即继续这些计数 虚拟 IP 配置 IP 地址 - 通过 DHCP 和 VPN 隧道从 VPN 网关分配到的 IP 地址 子网掩码 - 虚拟 IP 地址的子网掩码 续订 - 续订 DHCP 租赁 配置 VPN 连接属性 33

34 管理 VPN 连接 排列连接 Dell SonicWALL Global VPN Client 可根据您的需要支持任意数量的 VPN 连接 为帮助您管理这些连接,Global VPN Client 提供了本章节所述的连接管理工具 随着时间的推移,Global VPN Client 窗口中的 VPN 连接的数量可能会增加, 您可能需要对其进行排列以方便快速访问 您可以在 Global VPN Client 窗口中通过选择视图 > 排序标准来排列您的 VPN 连接 可以按照以下标准来排列 VPN 连接 : 名称 - 按连接名称对连接进行排序 对等 - 按对等名称对连接进行排序 状态 - 按连接状态对连接进行排序 升序 - 如果启用, 则按升序对连接进行排序, 例如 A-Z; 如果禁用, 则按降序排序, 例如 Z-A 默认排序是按名称进行升序排列 重命名连接 要对连接进行重命名, 请选择连接, 并选择文件 > 重命名, 然后输入新名称 也可以右键单击连接并从菜单中选择重命名 删除连接 要删除连接, 请选择连接, 然后按删除键或选择文件 > 删除 也可以右键单击连接名称并选择删除 无法删除活动的 VPN 连接 必须先禁用 VPN 连接, 然后再将其删除 选择所有连接 选择视图 > 全选或者按 Ctrl+A 选择 Global VPN Client 窗口中的所有连接 使用证书 如果您的 VPN 连接策略要求包含数字证书, 则您的网关管理员必须为您提供必要的信息来导入证书 然后您需要在 Global VPN Client 中使用证书管理器导入证书 小心 如果您的 VPN 连接策略要求包含数字证书, 则您的 VPN 网关管理员必须为您提供必要的证书 管理证书 利用证书管理器, 您可以管理 Dell SonicWALL Global VPN Client 用于 VPN 连接的数字证书 如果您的 VPN 网关使用数字证书, 则必须将 CA 和本地证书都导入到证书管理器中 34 Dell SonicWALL Global VPN Client 4.9 管理员指南

35 要打开证书管理器, 请单击 Global VPN Client 窗口中的视图菜单, 然后选择证书 在选择证书群组下拉列表中, 可以选择用户 CA 或受信任的根 CA, 以显示您的 VPN 策略中当前可用的每类证书列表 用户证书是用于建立 VPN 安全关联的本地数字证书 CA 证书是用于验证用户证书的数字证书 受信任的根 CA 证书用于验证 CA 证书 选择列表中的证书, 然后 : 单击证书管理器窗口中的导入按钮显示导入证书窗口, 以便导入证书文件 单击移除按钮删除选定的证书 单击详细信息按钮查看选定证书的详细信息 提示有关在 Dell SonicWALL 设备上使用 VPN 证书的更多信息, 请参见 SonicOS 管理员指南 Global VPN Client 故障排除 Dell SonicWALL Global VPN Client 提供了多种用于排除 VPN 连接故障的工具 本章节介绍如何使用日志查看器 生成帮助报告 访问 Dell SonicWALL 支持站点 使用 Dell SonicWALL Global VPN Client 帮助系统以及卸载 Global VPN Client Global VPN Client 故障排除 35

36 了解 Global VPN Client 日志 Global VPN Client 日志窗口显示了关于 Global VPN Client 活动的消息 要打开日志查看器窗口, 请单击 Global VPN Client 窗口工具栏中的日志查看器按钮, 或者选择视图 > 日志查看器, 或者按 Ctrl+L 类型 - 指示消息类型的图标 ( 信息 警告或错误 ) 共有三类图标 : 信息 - 气泡中显示蓝色 i 警告 - 黄色三角形中显示感叹号 错误 - 红色圆圈中显示白色 X 时间 - 生成消息的日期和时间 对等 - 对等设备的 IP 地址或 FQDN 消息 - 描述事件的消息文本 单击保存按钮将当前日志保存至.txt 文件 将当前日志保存至文件时,Global VPN Client 会自动添加一份帮助报告, 其中包含了有关 Dell SonicWALL Global VPN Client 的状况及其运行系统的有用信息, 以用于故障排除 帮助报告信息插在日志文件的开始处 更多信息, 请参见第 39 页生成帮助报告 提示有关日志查看器消息的完整列表, 请参见第 49 页附录 C - 日志查看器消息 日志查看器提供下列功能来帮助您管理日志消息 : 要将当前日志保存至.txt 文件, 请单击工具栏中的保存按钮, 按 Ctrl+S, 或者选择文件 > 保存 保存日志查看器文件时,Global VPN Client 会自动添加一份报告, 其中包含了有关 Dell SonicWALL Global VPN Client 的状况及其运行系统的有用信息 要选择全部消息, 请按 Ctrl+A 或选择编辑 > 全选 36 Dell SonicWALL Global VPN Client 4.9 管理员指南

37 要复制日志内容以粘贴到其他应用程序中, 请选择想要复制的消息, 然后按 Ctrl+C 或选择编辑 > 复制 要在日志查看器中显示比较粗略的信息, 请单击工具栏中的过滤消息按钮, 或者选择视图 > 过滤消息 要搜索包含某个字符串的日志消息, 请单击工具栏中的 查找 按钮, 或者选择编辑 > 查找, 并在 查找 对话框中输入字符串 在对话框中, 您可以选择全字匹配 区分大小写, 以及向上或向下搜索方向 单击查找下一个按钮进行搜索 在 查找 对话框中输入字符串后, 可以单击 X 关闭对话框, 然后使用工具栏中的 查找下一个 和 查找上一个 按钮 要清除当前日志信息, 请单击工具栏中的清除按钮, 按 Crtl+X, 或者选择编辑 > 清除 要隐藏或显示日志查看器窗口中的工具栏, 请选择视图 > 工具栏以开启或关闭工具栏 要隐藏或显示日志查看器窗口中的状态栏, 请选择视图 > 状态栏以开启或关闭状态栏 配置日志 视图 > 选项对话框中的 日志记录 选项卡指定了用于配置 Global VPN Client 日志行为的设置 要保留的最大日志消息数 - 指定在日志文件中保留的日志消息最大数量 记录 ISAKMP 标头信息 - 启用记录 ISAKMP 标头信息 记录死对等检测数据包 - 启用记录死对等检测数据包 记录 NAT 保持活动数据包 - 启用记录 NAT 存活数据包 启用向文件自动记录消息 - 启用按自动记录窗口中指定的方法自动将消息记录到文件 设置 - 单击设置将显示自动记录窗口 Global VPN Client 故障排除 37

38 配置自动记录 单击设置将显示自动记录窗口, 以指定自动将消息记录到文件所用的设置 日志文件将保存为文本文件 (.txt) 输入自动记录文件的名称 - 指定将日志记录消息保存到的目标文件 单击... 按钮可以指定自动记录文件的位置 如果仅指定文件名 ( 未在文件名中提供路径 ), 则将在用户的 TEMP 目录中创建日志文件 查看自动记录文件 - 显示整个日志文件 ( 不超过 71,000 行 ) 自动记录启动后覆盖现有文件 - 在启动自动记录时覆盖现有的自动记录文件 设置自动记录文件的大小限制 - 激活日志文件的最大大小限制 自动记录文件的最大值 - 指定最大文件大小 (KB 或 MB) 如果达到自动记录大小限制 - 指定在自动记录文件达到最大大小时执行的操作 选项包括 : 询问我应执行什么操作 - 在日志文件达到最大大小时提示用户选择停止自动记录或覆盖自动记录文件 停止自动记录 - 在达到最大文件大小时停止自动记录 覆盖自动记录文件 - 在达到最大文件大小后覆盖现有的自动记录文件 38 Dell SonicWALL Global VPN Client 4.9 管理员指南

39 生成帮助报告 在 Global VPN Client 窗口中选择帮助 > 生成报告将显示 Global VPN Client 报告对话框 生成报告用于创建报告, 其中包含了有关如何获取帮助以解决您可能遇到的问题的有用信息 该报告包含有关 Global VPN Client 状态及其运行系统的信息 此报告中的信息包括 : 版本信息 驱动程序 系统信息 IP 地址 路由表 当前日志消息要在默认文本编辑器窗口中查看报告, 请单击查看 要将报告保存至文本文件, 请单击另存为 要通过电子邮件发送报告, 请单击发送 要关闭报告窗口而不执行任何操作, 请单击不要发送 Global VPN Client 故障排除 39

40 访问 Dell SonicWALL Global VPN Client 技术支持 Dell SonicWALL 全面的支持服务可以保护您的网络安全投资, 并在您需要时提供您所需要的支持 Dell SonicWALL Global VPN Client 支持包含在您的 Dell SonicWALL 网络安全设备支持计划中 选择帮助 > 技术支持可访问 Dell SonicWALL 支持网站 : Dell SonicWALL 支持网站提供全方位的支持服务, 包括全面的在线资源和有关 Dell SonicWALL 增强支持计划的信息 您可以通过您的 MySonicWALL 帐户购买 / 激活 Dell SonicWALL 支持服务 : 如需基于 Web 的技术支持, 请访问 : 查看帮助主题 选择帮助 > 帮助主题将显示 Dell SonicWALL Global VPN Client 帮助系统窗口 您可以使用下列选项来访问帮助主题 : 目录 - 以目录视图显示帮助 索引 - 以字母表主题视图显示帮助 搜索 - 允许您使用关键字搜索帮助系统 卸载 Dell SonicWALL Global VPN Client 您可以轻松地卸载 Dell SonicWALL Global VPN Client, 以及在卸载过程中选择保存或删除您的 VPN 连接 注 在卸载 Dell SonicWALL Global VPN Client 之前, 必须先退出该程序 卸载 Dell SonicWALL Global VPN Client: 1. 启动 Windows 控制面板 2. 双击添加 / 删除程序 (Windows XP) 或单击程序和功能 (Windows 7) 3. 选择 Global VPN Client, 然后单击删除 4. 在确认文件删除对话框中, 单击是或确定以确认删除 Dell SonicWALL Global VPN Client 5. 如果想要删除现有的所有 VPN 连接配置文件, 请选择删除所有个人用户配置文件 如果将此 设置保留未选中状态, 则会保存 VPN 连接配置文件, 并在下次安装 Dell SonicWALL Global VPN Client 时再次显示 6. 如果您想在下次安装 Global VPN Client 时保留相同的 Dell SonicWALL VPN 适配器 MAC 地 址, 请选择保留 MAC 地址 7. 单击下一步 8. 删除 Global VPN Client 后, 在系统提示时重启计算机 40 Dell SonicWALL Global VPN Client 4.9 管理员指南

41 配置 Dell SonicWALL 设备使用 Global VPN Client SonicOS GroupVPN 策略提供从 Dell SonicWALL 安全设备自动设置 Dell SonicWALL Global VPN Client 的功能 GroupVPN 策略仅可用于 Dell SonicWALL Global VPN Client SonicOS GroupVPN 支持两种 IPsec 密钥模式 : 使用共享密钥的 IKE 和使用第三方证书的 IKE 创建 GroupVPN 策略后, 可以使用以下方法来配置 GroupVPN 自动设置 Dell SonicWALL Global VPN Client: 下载策略或导出策略文件, 以便在 Dell SonicWALL Global VPN Client 中手动进行安装 注 有关在 Dell SonicWALL 设备上配置 GroupVPN 以支持 Dell SonicWALL Global VPN Client 的信息, 请参见 SonicOS 管理员指南 以下支持页面中提供了所有 Dell SonicWALL 产品文档 : Dell SonicWALL Global VPN Client 许可证 Global VPN Client 许可基于连接到 Dell SonicWALL 设备的并发 Global VPN Client 连接数量 如果超过并发 Global VPN Client 连接数量,SonicOS 将不允许更多 Global VPN Client 连接 并发 Global VPN Client 数量一旦降至许可证限值以下, 就可以立即建立新的全局 VPN 连接 每种设备型号支持的群组 VPN 连接数 每种 Dell SonicWALL 设备型号支持的 Global VPN Client 许可证数量各不相同 您可以从您的经销商处或者在 mysonicwall.com 在线购买 Global VPN Client 软件和 Global VPN Client 许可证 激活 Dell SonicWALL Global VPN Client 要激活和下载 Dell SonicWALL Global VPN Client 软件, 您必须拥有有效的 mysonicwall.com 帐户, 并且必须将您的 Dell SonicWALL appliance 注册到您的帐户 如果您还没有 mysonicwall.com 帐户, 或者还没有将您的设备注册到您的帐户, 请在 上创建一个帐户, 然后按照注册说明执行操作 激活您的 Global VPN Client 许可证 : 1. 登录到您的 mysonicwall.com 帐户 2. 选择已注册的 Dell SonicWALL 网络安全设备 3. 从适用服务菜单中选择 Global VPN Client 4. 选择激活 5. 在 激活密钥 字段中输入您的激活密钥 6. 单击提交 成功激活时将会显示确认消息 请记录 Dell SonicWALL 设备的序列号以备将来参考 现在, 您的 许可证激活过程已经完成 下载 Global VPN Client 软件和文档 1. 在 我的产品 页面中, 单击已为其激活 Global VPN Client 许可证的 Dell SonicWALL 设备 2. 选择软件下载 如果该服务尚未激活, 请单击同意将其激活 3. 下载 Dell SonicWALL Global VPN Client 软件和文档 配置 Dell SonicWALL 设备使用 Global VPN Client 41

42 附录 A - 在 Global VPN Client 中使用 Default.rcf 文件 利用 default.rcf 文件,Dell SonicWALL VPN 网关管理员可以为 Dell SonicWALL Global VPN Client 创建和分发预配置的 VPN 连接 Dell SonicWALL VPN 网关管理员可使用 Global VPN Client 软件分发 default.rcf 文件, 以便通过自动创建预配置的 VPN 连接来简化部署过程 通过 default.rcf 文件创建的 VPN 连接会出现在 Global VPN Client 窗口中 Global VPN Client 用户只需启用 VPN 连接, 在使用用户名和密码完成 XAUTH 验证后, 就能自动完成策略下载 Global VPN Client 如何使用 Default.rcf 文件 在启动 Global VPN Client 时, 程序会一直在 C:\Users\< 用户 >\AppData\Roaming\Dell SonicWALL\ Global VPN Client\ 目录中查找配置文件 Connections.rcf 如果此文件不存在, 则 Global VPN Client 会在程序的安装目录 C:\Program Files\Dell SonicWALL\Global VPN Client\ 中查找 default.rcf 文件 如果存在 default.rcf 文件,Global VPN Client 将读取该文件, 并在 C:\Users\< 用户 >\AppData\ Roaming\Dell SonicWALL\Global VPN Client\ 目录中创建配置文件 Connections.rcf Connections.rcf 文件中包含 Dell SonicWALL Global VPN Client 的所有 VPN 连接配置信息, 以及经过加密的敏感数据 ( 用户名和密码 ) 部署 Default.rcf 文件 有三种方法为您的 Dell SonicWALL Global VPN Client 部署 default.rcf 文件 : 在运行安装程序之前, 将 default.rcf 文件与安装程序软件 GVCInstallXX.MSI 包含在一起, 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64 请参见第 42 页将 Default.rcf File 与安装程序软件 GVCInstallXX.MSI 包含在一起 在首次打开 Dell SonicWALL Global VPN Client 应用程序之前, 将 default.rcf 文件添加到程序安装目录中 请参见第 43 页将 Default.rcf 文件添加到已安装的 Global VPN Client 目录 如果用户的配置文件夹中已存在 Connections.rcf 配置文件, 则使用来自程序安装目录中的 default.rcf 文件的设置来替换它 请参见第 43 页使用 Default.rcf 设置替换现有的 Global VPN Client.rcf 将 Default.rcf File 与安装程序软件 GVCInstallXX.MSI 包含在一起 创建 default.rcf 文件后, 在运行安装程序之前, 将其包含在与 MSI 安装程序 (GVCInstallXX.MSI, 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64) 相同的文件夹内 安装过程现在会将 default.rcf 复制到程序安装目录中 完成此安装后, 当用户启动 Global VPN Client 程序时, 将会使用 default.rcf 中定义的连接在 C:\Users\< 用户 >\AppData\Roaming\Dell SonicWALL\ Global VPN Client\ 目录中创建配置文件 Connections.rcf 对于 Global VPN Client 用户而言, 这是最简单的方法 在安装过程中执行下列步骤, 让所有用户都从 default.rcf 中获得相同的配置文件 : 1. 从 Dell SonicWALL 网络安全设备 (VPN 网关 ) 中导出 WAN groupvpn 配置, 或者创建 default.rcf ( 如果需要多个连接 ) 2. 将导出的配置文件重命名为 default.rcf 3. 输入以下命令行, 从 GVCSetupXX.exe 中提取 GVCInstallXX.MSI( 其中 XX 对于 32 位 Windows 平台为 32, 对于 64 位 Windows 平台为 64):GVCSetupXX.exe /T:< 您需要将 MSI 提取到的目标路径 > /C 42 Dell SonicWALL Global VPN Client 4.9 管理员指南

43 4. 将 default.rcf 文件复制到与 GVCInstallXX.MSI( 安装程序文件 ) 相同的目录中 5. 启动安装程序 (GVCInstallXX.MSI) 安装过程会将 default.rcf 复制到 GVC 安装目录中 6. 完成安装并启动 Global VPN Client 后, 它将读取 default.rcf 并使用它创建所定义的连接 小心 必须将 default.rcf 文件包含在 Global VPN Client 安装目录 C:\Program Files\Dell SonicWALL\ Global VPN Client\ 中, 程序才能根据 default.rcf 文件中定义的设置写入 Connections.rcf 文件 将 Default.rcf 文件添加到已安装的 Global VPN Client 目录 在安装 Global VPN Client 软件之后, 运行程序之前, 用户可以将 default.rcf 文件添加到 Global VPN Client 安装目录 C:\Program Files\Dell SonicWALL\Global VPN Client\ 中 在用户启动 Global VPN Client 程序时, 将会基于 default.rcf 文件中的设置在 C:\Users\< 用户 >\ AppData\Roaming\Dell SonicWALL\Global VPN Client\ 目录中创建 Global VPN Client.rcf 使用 Default.rcf 设置替换现有的 Global VPN Client.rcf 如果 C:\Users\< 用户 >\AppData\Roaming\Dell SonicWALL\Global VPN Client\ 目录中已经存在配置文件 Connections.rcf, 用户可以删除此文件并将 default.rcf 文件添加到 Global VPN Client 的安装目录 C:\Program Files\Dell SonicWALL\Global VPN Client\ 中 用户下次启动 Global VPN Client 时, 将会基于 default.rcf 文件中的设置在 C:\Users\< 用户 >\AppData\Roaming\Dell SonicWALL\ Global VPN Client\ 目录中创建 Connections.rcf 文件 小心 Connections.rcf 文件是用户特定的文件, 多数情况下无法用于运行 Dell SonicWALL Global VPN Client 的其他用户 ( 即使在同一台计算机上亦如此 ) 小心 删除现有的 Connections.rcf 文件将会删除在 Global VPN Client 中创建的 VPN 连接 可以从 Global VPN Client 中再次将这些 VPN 连接添加到新的 Connections.rcf 文件中 附录 A - 在 Global VPN Client 中使用 Default.rcf 文件 43

44 创建 Default.rcf 文件 您可以通过任何文本编辑器 ( 例如 Windows 记事本 ) 来创建您的自定义 default.rcf 文件 Default.rcf 文件标签说明 没有在 default.rcf 中显式列出的标签将被设为默认设置 ( 这与您在 Global VPN Client 中手动配置新 VPN 连接时的行为相同 ) 每个标签的默认设置使用方括号中的粗体文本突出显示, 例如 [ 默认值 ] <SW_Client_Policy version = 9.0 > <Connections> 用于在 default.rcf 配置文件中定义连接配置文件 对于允许的连接配置文件数量, 没有定义硬限制 <Connection name = 连接名称 > 用于为出现在 Global VPN Client 窗口中的 VPN 连接提供名称 <Description> 说明文本 </Description> 为每个连接配置文件提供说明 用户在将鼠标指针移至 Global VPN Client 窗口中的 VPN 策略上面时将会显示此说明 <Description> 标签的最大字符数为 1023 个 <Flags> <AutoConnect>[Off=0]/On=1</AutoConnect> 在程序启动时启用此连接 <ForceIsakmp>Off=0/[On=1]</ForceIsakmp> 在启用连接时立即启动 IKE 协商, 而无需等待网络流量 如果禁用, 则仅在出现到目的地网络的流量时才发起 IKE 协商 <ReEnableOnWake>[Off=0]/On=1</ReEnableOnWake> 在从睡眠或休眠状态唤醒计算机时启用连接 <ReconnectOnError>Off=0/[On=1]</ReconnectOnError> 在发生错误时自动持续尝试启用连接 <ExecuteLogonScript>[Disable=0]/Enable=1</ExecuteLogonScript> 强制启动登录脚本 </Flags> <Peer> 定义 VPN 连接的对等设置 VPN 连接可以支持最多 5 个对等 <HostName>IP 地址 / 域名 </HostName> Dell SonicWALL 网关的 IP 地址或域名 44 Dell SonicWALL Global VPN Client 4.9 管理员指南

45 <EnableDeadPeerDetection>Off=0/On=1</EnableDeadPeerDetection> 在对等设备停止响应流量时启用检测 它会在 IKE 协商期间, 将供应商 ID 发送至 Dell SonicWALL 设备以启用死对等检测心跳流量 NAT 穿越 - 提供包含以下三个选项的下拉选择列表 : 自动 - 检测 NAT 穿越已开启还是关闭 强制打开 - 强制打开 NAT 穿越 禁用 - 强制关闭 NAT 穿越 要在自定义 default.rcf 文件中指定 自动, 请将 ForceNATTraversal 和 DisableNATTraversal 设为 0, 或者不要列出这些标签 <ForceNATTraversal>[Off=0]/On=1</ForceNATTraversal> 强制 NAT 穿越 ( 即使中间没有 NAT 设备亦如此 ) 正常情况下, 在完成 IKE 协商后, 会自动检测中间的 NAT 设备以及启动 IPSEC 流量的 UDP 封装 <DisableNATTraversal>[Off=0]/On=1</DisableNATTraversal> 禁用 NAT 穿越 ( 即使中间没有 NAT 设备亦如此 ) 正常情况下, 在完成 IKE 协商后, 会自动检测中间的 NAT 设备以及启动 IPSEC 流量的 UDP 封装 <NextHop>IP 地址 </NextHop> 此连接的下一跃点 IP 地址 此设置仅在需要使用不同于默认网关的下一跃点时使用 <Timeout>3<Timeout> 定义重新传输数据包的超时值 ( 以秒计 ) 最小 <Timeout> 值为 1 秒, 最大值为 10 秒 <Retries>3<Retries> 在将连接视为死连接之前重试数据包重新传输的次数 最小 <Retries> 值为 1, 最大值为 10 <UseDefaultGWAsPeerIP>[Off=0]/On=1</UseDefaultGWAsPeerIP> 指定使用 PC 的默认网关 IP 地址作为对等 IP 地址 <InterfaceSelection> 基于链路和 IP 检测自动选择连接 =0/ 连接始终使用 LAN=1/ 连接始终使用拨号 =2</InterfaceSelection> 强制 VPN 连接的接口选择 <WaitForSourceIP>Off=0/[On=1]</WaitForSourceIP> 指定在有可用的本地源 IP 地址时发送数据包 <DialupUseMicrosoftDUN> 第三方 =0/[Microsoft=1]</DialupUseMicrosoftDUN> 指示 Global VPN Client 使用 Microsoft 还是第三方拨号连接 <DialupApp>c:\Program Files\Windows NT\dialer.exe</DialupApp> 在 Windows XP 中, 指定第三方拨号连接应用程序的目录路径, 包括应用程序名称 <DialupPhonebook>MSN 办公室网络 /[Prompt When Necessary]</DialupPhonebook> 指定在本地计算机的 网络和拨号连接 中列出的 Microsoft 拨号连接名称 <DialupLeaveConnected>[Off=0]/On=1</DialupLeaveConnected> 指示 Global VPN Client 在断开连接时是否将拨号连接保持登录状态 <DPDInterval>[[3]-30]</DPDInterval> 指定在将对等声明为死对等之前需要等待的持续时间 ( 以秒计 ) 允许的间隔时间值包括 和 30 秒 <DPDAttempts>[3-[5]]</DPDAttempts> 指定在将对等声明为死对等之前尝试联系对等的失败次数 允许的值包括 3 4 或 5 次 <DPDAlwaysSend>[Off=0]/On=1</DPDAlwaysSend> 指示 Global VPN Client 基于从对等收到的网络流量发送 DPD 数据包 </Peer> 对于此连接中的冗余网关, 重复 <Peer> 下面的所有标签 每个连接最多可以有 5 个冗余网关 </Connection> 定义配置文件中的每个连接配置文件的终点 </Connections> 定义 Default.rcf 文件中的所有连接配置文件的终点 <SW_Client_Policy> 附录 A - 在 Global VPN Client 中使用 Default.rcf 文件 45

46 default.rcf 示例文件 下面是一个 default.rcf 文件示例 此文件包含两个 VPN 连接 : 企业防火墙和海外网关 企业防火墙连接配置中包含冗余 VPN 连接的两个对等条目 小心 如果您尝试直接将此示范文件复制到 ASCII 文本编辑器中, 在保存此文件时, 您可能必须删除每行结束处的所有段落标签 在分发文件之前, 验证可以将其导入到 Global VPN 应用程序中 <?xml version="1.0" standalone="yes"?> <SW_Client_Policy version="9.0"> <Connections> <Connection name=" 企业防火墙 "> <Description> 这是企业防火墙 如果出现连接问题, 请拨打 fix-today </Description> <Flags> <AutoConnect>0</AutoConnect> <ForceIsakmp>1</ForceIsakmp> <ReEnableOnWake>0</ReEnableOnWake> <ReconnectOnError>1</ReconnectOnError> <ExecuteLogonScript>0</ExecuteLogonScript> </Flags> <Peer> <HostName>CorporateFW</HostName> <EnableDeadPeerDetection>1</EnableDeadPeerDetection> <ForceNATTraversal>0</ForceNATTraversal> <DisableNATTraversal>0</DisableNATTraversal> <NextHop> </NextHop> <Timeout>3</Timeout> <Retries>3</Retries> <UseDefaultGWAsPeerIP>0</UseDefaultGWAsPeerIP> <InterfaceSelection>0</InterfaceSelection> <WaitForSourceIP>0</WaitForSourceIP> <DialupUseMicrosoftDUN>1</DialupUseMicrosoftDUN> <DialupApp>c:\program files\aol\aol.exe</dialupapp> <DialupPhonebook> 文本 </DialupPhonebook> <DialupLeaveConnected>0</DialupLeaveConnected> <DPDInterval>3</DPDInterval> <DPDAttempts>3</DPDAttempts> <DPDAlwaysSend>0</DPDAlwaysSend> </Peer> <Peer> 46 Dell SonicWALL Global VPN Client 4.9 管理员指南

47 <HostName> </HostName> <EnableDeadPeerDetection>1</EnableDeadPeerDetection> <ForceNATTraversal>0</ForceNATTraversal> <DisableNATTraversal>0</DisableNATTraversal> <NextHop> </NextHop> <Timeout>3</Timeout> <Retries>3</Retries> <UseDefaultGWAsPeerIP>0</UseDefaultGWAsPeerIP> <InterfaceSelection>0</InterfaceSelection> <WaitForSourceIP>0</WaitForSourceIP> <DialupUseMicrosoftDUN>1</DialupUseMicrosoftDUN> <DialupApp>c:\program files\aol\aol.exe</dialupapp> <DialupPhonebook> 文本 </DialupPhonebook> <DialupLeaveConnected>0</DialupLeaveConnected> <DPDInterval>3</DPDInterval> <DPDAttempts>3</DPDAttempts> <DPDAlwaysSend>0</DPDAlwaysSend> </Peer> </Connection> <Connection name=" 海外网关 "> <Description> 这是在海外出差时连接的防火墙 </Description> <Flags> <AutoConnect>0</AutoConnect> <ForceIsakmp>1</ForceIsakmp> <ReEnableOnWake>0</ReEnableOnWake> <ReconnectOnError>1</ReconnectOnError> <ExecuteLogonScript>0</ExecuteLogonScript> </Flags> <Peer> <HostName>< 默认网关 ></HostName> <EnableDeadPeerDetection>1</EnableDeadPeerDetection> <ForceNATTraversal>0</ForceNATTraversal> <DisableNATTraversal>0</DisableNATTraversal> <NextHop> </NextHop> <Timeout>3</Timeout> <Retries>3</Retries> <UseDefaultGWAsPeerIP>1</UseDefaultGWAsPeerIP> <InterfaceSelection>0</InterfaceSelection> <WaitForSourceIP>0</WaitForSourceIP> 附录 A - 在 Global VPN Client 中使用 Default.rcf 文件 47

48 <DialupUseMicrosoftDUN>1</DialupUseMicrosoftDUN> <DialupApp>c:\program files\aol\aol.exe</dialupapp> <DialupPhonebook> 文本 </DialupPhonebook> <DialupLeaveConnected>0</DialupLeaveConnected> <DPDInterval>3</DPDInterval> <DPDAttempts>3</DPDAttempts> <DPDAlwaysSend>0</DPDAlwaysSend> </Peer> </Connection> </Connections> </SW_Client_Policy> 排除 Default.rcf 文件故障 表 1 排除 default.rcf 文件故障 问题 如果在您的 default.rcf 文件中有任何错误的条目或拼写错误,default.rcf 文件中的设置将无法合并到 Global VPN Client 中, 并且 Global VPN Client 窗口中也不会显示任何连接配置文件 Global VPN Client 日志查看器中将会显示 Failed to parse configuration <file>, 或者在尝试导入该文件时显示以下错误消息 : 无法导入指定的配置文件 文件似乎已被损坏 default.rcf 文件无法设置只读属性 在尝试连接时, 对等名称 < 默认网关 > 显示以下错误消息 : 无法将对等名称 < 默认网关 > 转化为 IP 地址 解决方案 确保文件中不包含任何非 ASCII 字符 必须从 \ 目录中删除由 default.rcf 文件创建的 Connections.rcf 文件, 并且编辑 default.rcf 文件以更正错误 必须从 \ 目录中删除由 default.rcf 文件创建的 Connections.rcf 文件, 并且删除 default.rcf 文件的只读属性以更正该错误 在将对等名称设为 < 默认网关 > 的特例时, 必须将 <UseDefaultGWAsPeerIP> 的标签设为 1 必须从 \ 目录中删除由 default.rcf 文件创建的 Connections.rcf 文件 附录 B - 使用 Global VPN Client CLI 可以从命令行界面 (CLI) 运行 Dell SonicWALL Global VPN Client 利用此接口可以编程方式或基于脚本的方式启动某些 Global VPN Client 功能, 而无需用户直接在 Global VPN Client 应用程序中执行操作 Global VPN Client CLI 允许设置脚本, 以便在启动某个应用程序或连接方法时自动启动安全隧道 CLI 命令要求使用 Global VPN Client 应用程序的完整路径名称, 后面紧跟各种标签和变量信息, 例如用户名或密码 小心 直接在脚本中嵌入用户密码存在安全风险 任何能够访问脚本的用户都能读取该密码, 从而造成安全风险 建议脚本或编程仪表板在发起连接之前要求提供密码, 然后清除该变量 48 Dell SonicWALL Global VPN Client 4.9 管理员指南

49 命令行选项 您可以使用下列选项从命令行执行各种 Global VPN Client 操作 /E 连接名称 启用特定连接 /D 连接名称 禁用特定连接 /Q - 退出程序的运行实例 如果程序尚未运行, 则忽略此选项 /A [ 文件名 ] - 启动程序并将所有消息发送至指定的日志文件 如果未指定日志文件, 则默认文件名为 gvcauto.log 如果程序已经在运行, 则忽略此选项 /U 用户名 - 传递至 XAUTH 的用户名 必须与 /E 联合使用 /P 密码 - 传递至 XAUTH 的密码 必须与 /E 联合使用 命令行示例 < 路径 >\swgvpnclient - 运行 / 启动应用程序 如果应用程序已经在运行, 则不会创建另一个实例 < 路径 >\swgvpnclient /E < 连接名称 > /U < 用户名 > and /P < 密码 > - 运行 / 启动应用程序, 启用指定连接, 并且使用 < 用户名 > 和 < 密码 > 进行用户验证 如果您没有包含用户名和密码, Global VPN Client 将显示对话框, 要求您提供上述信息以便继续 < 路径 >\swgvpnclient /A < 路径 \ 文件名 > - 运行 / 启动应用程序, 并且启用将所有事件自动记录到日志文件的功能 如果未指定文件名, 则使用默认名称 <gvcauto.log> 创建日志文件 如果想要保存每个 Global VPN Client 会话的自动记录, 您可以在每次启动应用程序时使用文件名选项并指定不同的文件名 如果未指定路径, 则将在启动 Global VPN Client 应用程序的相同目录中创建此文件 附录 C - 日志查看器消息 日志查看器错误消息 以下章节列出了 Global VPN Client 日志查看器中可能出现的错误 信息和警告消息 下表列出了可能的错误消息 表 2 日志查看器消息 "Invalid DOI in notify message," : called with invalid parameters. A phase 2 IV has already been created. An error occurred. Attributes were specified but not offered. Authentication algorithm is not supported. CA certificate not found in list. Calculated policy configuration attributes length does not match length of attributes set into policy configuration payload. Calculated XAuth attributes length does not match length of attributes set into XAuth payload. 附录 C - 日志查看器消息 49

50 Can not change the Diffie-Hellman group for PFS. Can not process packet that does not have at least one payload. Can not process unsupported mode config type. Can not process unsupported XAuth type. Can not set IPSEC proposals into empty SA list. Cannot do quick mode: no SA's to negotiate. certificate error. Certificate ID not specified. Deallocation of event publisher context failed. Diffie-Hellman group generator length has not been set. Diffie-Hellman group prime length has not been set. DSS signature processing failed - signature is not valid. Encryption algorithm is not supported. ESP transform algorithm is not supported. Failed to add a new AH entry to the phase 2 SA list. Failed to add a new ESP entry to the phase 2 SA list. Failed to add IPSEC encapsulation mode into the payload. Failed to add IPSEC group description into the payload. Failed to add IPSEC HMAC algorithm into the payload. Failed to add IPSEC life duration into the payload. Failed to add IPSEC life type into the payload. Failed to add OAKLEY authentication algorithm into the payload. Failed to add OAKLEY encryption algorithm into the payload. Failed to add OAKLEY generator G1 into the payload. Failed to add OAKLEY group description into the payload. Failed to add OAKLEY group type into the payload. Failed to add OAKLEY hash algorithm into the payload. Failed to add OAKLEY life duration into the payload. Failed to add OAKLEY life type into the payload. Failed to add OAKLEY prime P into the payload. Failed to add policy configuration INI format into the payload. Failed to add policy configuration version into the payload. Failed to add XAuth password '' into the payload. Failed to add XAuth status into the payload. Failed to add XAuth type into the payload. Failed to add XAuth username '' into the payload. 50 Dell SonicWALL Global VPN Client 4.9 管理员指南

51 Failed to allocate bytes. Failed to allocate memory. Failed to begin phase 1 exchange. Failed to begin quick mode exchange. Failed to build a DSS object. Failed to build dead peer detection packet. Failed to build dead peer detection reply message. Failed to build dead peer detection request message. Failed to build phase 1 delete message. Failed to calculate DES mode from ESP transfer. Failed to calculate policy configuration attributes length. Failed to calculate XAuth attributes length. Failed to compute IV for connection entry. Failed to construct certificate payload. Failed to construct certificate request payload. Failed to construct certificate. Failed to construct destination proxy ID payload. Failed to construct DSS signature. Failed to construct hash payload. Failed to construct IPSEC nonce payload. Failed to construct IPSEC SA payload. Failed to construct ISAKMP blank hash payload. Failed to construct ISAKMP delete hash payload. Failed to construct ISAKMP DPD notify payload. Failed to construct ISAKMP ID payload. Failed to construct ISAKMP info hash payload. Failed to construct ISAKMP key exchange payload. Failed to construct ISAKMP nonce payload. Failed to construct ISAKMP notify payload. Failed to construct ISAKMP packet header. Failed to construct ISAKMP phase 1 delete payload. Failed to construct ISAKMP SA payload. Failed to construct ISAKMP vendor ID payload (ID = ). Failed to construct mode config hash payload. Failed to construct NAT discovery payload. Failed to construct PFS key exchange payload. 附录 C - 日志查看器消息 51