浣熊Roadwarrior配置
Roadwarrior情景
Roadwarrior是使用未知的动态分配的IP地址连接到VPN网关(在这种情况下也是防火墙)的客户端。 这种情况在图1.1中显示,是业务环境中最有趣和最需要的场景之一。 以下是为什么这样做的一些原因:
客户端可以是具有因特网接入的任何计算机(具有分配的任何IP地址),并且可以发起与VPN网关的连接。
当连接到VPN网络时,客户端将在他所连接的网络上分配一个内部IP地址,给人的印象是它直接连接到VPN网络,而不是通过Internet隧道连接。
当分配内部IP地址时,网络管理更容易。
流量在从客户端到VPN网关的路由上受到保护。
当连接时,客户端不能直接访问Internet,因为通过VPN网络和防火墙(VPN网关)路由流量。
与racoon相结合,Roadwarrior场景存在一些问题:
客户端的IP地址是未知的,不能在
racoon.conf配置文件或PSK密钥文件中定义。 因此,需要另一种客户端认证方式。由于客户端的目的地址未知,不能根据网关上的哪个
racoon来定义SP。连接启动时,浣熊必须创建任何所需的SP或SA。
图为本地网192.168.112.0/24内部模拟的roadwarrior场景,192.168.112.131计算机,网络通过公网IP地址为192.168.111.129的VPN网关(也是防火墙)连接到互联网(本地网络地址为192.168 .112.202)。 互联网由192.168.111.0/24网络模拟,除了VPN网关外,还包含两台电脑。 这些计算机是路虎客户端(IP地址192.168.111.203),另一台计算机连接到互联网,不依赖于这种路虎方案(192.168.111.3)。 要实现roadwarrior方案,有必要配置此连接所依赖的计算机。
