吳桂華

[摘 要] 近期看到很多人在一些IT技術(shù)論壇上關(guān)于Kerio Winroute Firewall VPN的相關(guān)提問，筆者希望本文能夠起到拋磚引玉的作用。筆者介紹了KWF（Kerio Winroute Firewall）中VPN的核心概念，VPN Server配置，VPN Client配置，以便讀者能夠更好地理解和掌握KWF VPN。

[關(guān)鍵詞] 探析；KWF；VPN；使用方法

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 18. 078

[中圖分類號(hào)] TP316 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）18- 0128- 03

1 KWF中VPN的核心概念

KWF（Kerio Winroute Firewall）的VPN服務(wù)器和其他很多修改遠(yuǎn)程客戶的默認(rèn)網(wǎng)關(guān)的VPN服務(wù)器不一樣，除了給遠(yuǎn)程客戶分配IP外，它只是通過(guò)客戶端的VPN Client修改遠(yuǎn)程客戶的路由表，就像客戶多了個(gè)接入到新網(wǎng)絡(luò)的接口和添加了對(duì)應(yīng)的路由項(xiàng)，而不修改遠(yuǎn)程客戶的默認(rèn)網(wǎng)關(guān)。除了Site-to-Site VPN （VPN Tunnel）外，都是KWF VPN服務(wù)器向VPN Client提供路由信息。它按照以下規(guī)則提供路由信息。

默認(rèn)路由信息不提供。有沖突的網(wǎng)絡(luò)信息不提供（如遠(yuǎn)程客戶處于192.168.0.0/24子網(wǎng)，而VPN服務(wù)器內(nèi)網(wǎng)也有個(gè)192.168.0.0/24的子網(wǎng)，則該子網(wǎng)路由信息不提供給遠(yuǎn)程客戶）。其他子網(wǎng)全部提供。

遠(yuǎn)程客戶的路由表由VPN Client負(fù)責(zé)更新，當(dāng)發(fā)生以下情況時(shí)，VPN Client更新本地路由表。

建立了VPN Tunnel或者當(dāng)遠(yuǎn)程客戶連接到VPN Server。VPN Tunnel的任何一方路由信息改變或者遠(yuǎn)程客戶連接到的VPN Server上的路由信息改變。對(duì)于不同的連接，更新周期是不同的。VPN Tunnel 是30s一次，連接到VPN Server的VPN Client是1min一次，不管是否有數(shù)據(jù)更新。下面我從VPN Server和VPN Client兩方面來(lái)說(shuō)明KWF VPN的使用。

2 VPN server配置

一次完整的VPN Server設(shè)置應(yīng)該包含以下4個(gè)步驟：

安裝VPN Server；啟用VPN Server；建立VPN users；配置Traffic policy；

2.1 安裝VPN Server

在安裝KWF 6.01的時(shí)候，默認(rèn)情況下會(huì)安裝VPN Server組件。如果你是使用自定義安裝，記得勾選VPN Support組件。

2.2 啟用VPN Server

如圖1所示，在首次進(jìn)入KWF管理界面時(shí)，會(huì)出現(xiàn)Network rules Wizard，在第5頁(yè)，記得選擇“Yes，I want to use Kerio VPN”。

如圖2所示，默認(rèn)情況下，VPN Server會(huì)隨機(jī)使用一個(gè)和內(nèi)部網(wǎng)絡(luò)不同的C類網(wǎng)絡(luò)?？梢愿鶕?jù)自己的需要進(jìn)行修改。

如圖3所示，雙擊VPN Server進(jìn)入它的屬性，在這次實(shí)驗(yàn)中，筆者將其使用網(wǎng)絡(luò)改為172.16.0.0/24。

如圖4所示，點(diǎn)擊“Advanced”進(jìn)入其高級(jí)設(shè)置，在里面，操作者可以修改VPN服務(wù)器使用的端口和連接時(shí)使用的證書。

2.3 建立VPN users

VPN users是和KWF用戶集成的，可以使用Active Directory用戶數(shù)據(jù)庫(kù)或者KWF內(nèi)部的用戶數(shù)據(jù)庫(kù)。如圖5所示，在Users控制臺(tái)點(diǎn)擊“Add...”添加新的用戶。

如圖6所示，在第1頁(yè)“常規(guī)”上輸入用戶信息，在這個(gè)實(shí)驗(yàn)中，名字為vpnuser，使用KWF的“Internal user database”。

3 VPN Client配置

Kerio VPN Client對(duì)客戶機(jī)的要求為。

CPU最低800 MHz；內(nèi)存512 MB；50MB磁盤空間；支持的操作系統(tǒng)有：Windows 2000，XP，Windows Server2003，Windows7，Windows Server 2008。

注意：不支持以前的操作系統(tǒng)，如Win9x/ME；也不能在已安裝了KWF VPN Server的計(jì)算機(jī)上安裝。

Kerio VPN Client的核心驅(qū)動(dòng)kvpndrv.sys會(huì)在系統(tǒng)中模擬一個(gè)網(wǎng)絡(luò)適配器，如果安裝過(guò)程中出現(xiàn)驅(qū)動(dòng)未經(jīng)過(guò)微軟驗(yàn)證的問題，忽略即可。安裝完后需要重啟計(jì)算機(jī)以加載驅(qū)動(dòng)。Kerio VPN Client的安裝不需要任何license，但是VPN用戶連接到KWF中的時(shí)候會(huì)計(jì)算入KWF的用戶授權(quán)。Kerio VPN Client只會(huì)自動(dòng)更新本地的路由表，不會(huì)進(jìn)行其他任何修改。因?yàn)檫@個(gè)原理，它可以同時(shí)連接到多個(gè)VPN Server上而不會(huì)有任何沖突問題。未連接VPN前，Computer A上的IP配置和路由表如下：

C：＼>ipconfig /all

Ethernet adapter Kerio VPN：

Connection-specific DNS Suffix . ：

Description . . . . . . . . . . . ： Kerio VPN adapter

Physical Address. . . . . . . . . ： 44-45-53-54-96-70

Dhcp Enabled. . . . . . . . . . . ： Yes

Autoconfiguration Enabled . . . . ： Yes

IP Address. . . . . . . . . . . . ： 169.254.47.195

Subnet Mask . . . . . . . . . . . ： 255.255.255.0

Default Gateway . . . . . . . . . ：

DHCP Server . . . . . . . . . . . ： 169.254.47.194

Lease Obtained. . . . . . . . . . ： 2014年5月4日 10：27：32

Lease Expires . . . . . . . . . . ： 2014年5月4日 10：27：42

C：＼>route print （如圖7所示）

運(yùn)行KVC，界面如圖8所示，輸入KWF VPN Server IP地址和用戶賬戶。

選擇SavePasword則將用戶密碼保存在當(dāng)前Windows用戶的配置文件中；勾選PersistentConnection則可以在VPN鏈路斷開時(shí)進(jìn)行自動(dòng)撥號(hào)恢復(fù)。

點(diǎn)擊Connect，連接功能后會(huì)有以下如圖9所示的提示：

接入VPN路由表，如圖10所示。

C：＼>ping 192.168.0.8

Pinging 192.168.0.8 with 32 bytes of data：

Reply from 192.168.0.8： bytes=32 time=2ms TTL=63

以上我們可以看出兩點(diǎn)信息，①路由表中新添加的項(xiàng)；②ping內(nèi)網(wǎng)機(jī)器時(shí)的TTL值為63，表明中間經(jīng)過(guò)了一個(gè)路由器。現(xiàn)在我們來(lái)訪問Computer B（192.168.0.8），我直接使用網(wǎng)上鄰居來(lái)訪問，如圖11所示，訪問成功。