我正在开展一个项目,需要调用一个只能通过 VPN 连接才能访问的 Web 服务。我们要迁移的旧平台运行在 OpenBSD 上,并使用内置的 IPSec 工具来创建连接。
以下配置是建立连接的方式。有人能帮我如何在 Windows 7 机器上创建此 VPN 连接吗?我一直在网上研究,但对现有脚本的了解不够,无法尝试在 Windows 上创建连接。我知道曾经有一个名为 ipseccmd.exe 的工具,它似乎具有与其中一些匹配的参数,但我认为这不包含在 Windows 的更高版本中?
这里是 OpenBSD 配置摘录:(我有 $variables 等所需的 IP 地址)
ike esp from $dev_server to $destination_lan peer $destination_peer \
main auth hmac-md5 enc aes-256 group modp1024 \
quick auth hmac-md5 enc aes-256 group modp1024 \
psk "pre_shared_key_goes_here"
“
答案1
使用 Windows 防火墙的连接安全规则在 Windows 7 上配置 IPsec。
打开“开始”菜单,搜索“高级安全 Windows 防火墙”。打开它。在左侧面板中,右键单击“高级安全 Windows 防火墙”。选择“属性”。打开标签为“IPsec 设置”的选项卡。单击“自定义”。
在“密钥交换(主模式)”部分,点击“自定义”。
点击“添加”,选择“MD5”作为完整性算法,选择“AES-CBC 256”作为加密算法,选择“Diffie-Hellman Group 2”作为密钥交换算法。点击“确定”。点击“确定”。
在“数据保护(快速模式)”部分,点击“自定义”。
勾选“要求所有使用这些设置的连接安全规则都加密”。
点击“添加”,选择“ESP”,选择“MD5”作为完整性算法,选择“AES-CBC 256”作为加密算法。
点击“确定”。点击“确定”。点击“确定”。点击“确定”。
在左侧面板中,右键单击“连接安全规则”。选择“新规则”选择“隧道”。单击“下一步>”。单击“下一步>”。单击“下一步>”。单击“添加”并输入$dev_server。单击“确定”。单击上方的“编辑”并输入$dev_server。单击下方的“编辑”并输入$destination_peer。单击“下一步>”。选择“高级”并单击“自定义”。在标有“首次身份验证”的部分中,单击“添加”。选择“预共享密钥”。输入预共享密钥。单击“确定”。单击“确定”。单击“下一步>”。单击“下一步>”。输入规则名称。单击“完成”
编辑:添加了配置 IPsec 的步骤。
答案2
或者,使用netsh advfirewall consec 添加规则 从命令行输入。输入这些内容后,您会得到一些有用的帮助文本。
请注意,您需要 Windows 7 专业版(我认为)和企业版(我确定)附带的“高级防火墙”。我不认为它是“家庭”版的一部分。
这是一个复杂的话题,答案取决于隧道另一端的配置方式。我不熟悉 OpenBSD 的 ipsec 实现,但我猜你需要在 Windows 上执行“lan-to-lan”模式,即使你的一个端点不是 LAN,它只是一台机器。(从技术上讲,我猜它是一个有一个成员的 /32 LAN :)