探析Kerio Winroute Firewall VPN

吳桂華

[摘 要] 近期看到很多人在一些IT技術(shù)論壇上關(guān)于Kerio Winroute Firewall VPN的相關(guān)提問，筆者希望本文能夠起到拋磚引玉的作用。筆者介紹了KWF（Kerio Winroute Firewall）中VPN的核心概念，VPN Server配置，VPN Client配置，以便讀者能夠更好地理解和掌握KWF VPN。

[關(guān)鍵詞] 探析；KWF；VPN；使用方法

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 18. 078

[中圖分類號] TP316 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194（2014）18- 0128- 03

1 KWF中VPN的核心概念

KWF（Kerio Winroute Firewall）的VPN服務(wù)器和其他很多修改遠程客戶的默認(rèn)網(wǎng)關(guān)的VPN服務(wù)器不一樣，除了給遠程客戶分配IP外，它只是通過客戶端的VPN Client修改遠程客戶的路由表，就像客戶多了個接入到新網(wǎng)絡(luò)的接口和添加了對應(yīng)的路由項，而不修改遠程客戶的默認(rèn)網(wǎng)關(guān)。除了Site-to-Site VPN （VPN Tunnel）外，都是KWF VPN服務(wù)器向VPN Client提供路由信息。它按照以下規(guī)則提供路由信息。

默認(rèn)路由信息不提供。有沖突的網(wǎng)絡(luò)信息不提供（如遠程客戶處于192.168.0.0/24子網(wǎng)，而VPN服務(wù)器內(nèi)網(wǎng)也有個192.168.0.0/24的子網(wǎng)，則該子網(wǎng)路由信息不提供給遠程客戶）。其他子網(wǎng)全部提供。

遠程客戶的路由表由VPN Client負責(zé)更新，當(dāng)發(fā)生以下情況時，VPN Client更新本地路由表。

建立了VPN Tunnel或者當(dāng)遠程客戶連接到VPN Server。VPN Tunnel的任何一方路由信息改變或者遠程客戶連接到的VPN Server上的路由信息改變。對于不同的連接，更新周期是不同的。VPN Tunnel 是30s一次，連接到VPN Server的VPN Client是1min一次，不管是否有數(shù)據(jù)更新。下面我從VPN Server和VPN Client兩方面來說明KWF VPN的使用。

2 VPN server配置

一次完整的VPN Server設(shè)置應(yīng)該包含以下4個步驟：

安裝VPN Server；啟用VPN Server；建立VPN users；配置Traffic policy；

2.1 安裝VPN Server

在安裝KWF 6.01的時候，默認(rèn)情況下會安裝VPN Server組件。如果你是使用自定義安裝，記得勾選VPN Support組件。

2.2 啟用VPN Server

如圖1所示，在首次進入KWF管理界面時，會出現(xiàn)Network rules Wizard，在第5頁，記得選擇“Yes，I want to use Kerio VPN”。

如圖2所示，默認(rèn)情況下，VPN Server會隨機使用一個和內(nèi)部網(wǎng)絡(luò)不同的C類網(wǎng)絡(luò)。可以根據(jù)自己的需要進行修改。

如圖3所示，雙擊VPN Server進入它的屬性，在這次實驗中，筆者將其使用網(wǎng)絡(luò)改為172.16.0.0/24。

如圖4所示，點擊“Advanced”進入其高級設(shè)置，在里面，操作者可以修改VPN服務(wù)器使用的端口和連接時使用的證書。

2.3 建立VPN users

VPN users是和KWF用戶集成的，可以使用Active Directory用戶數(shù)據(jù)庫或者KWF內(nèi)部的用戶數(shù)據(jù)庫。如圖5所示，在Users控制臺點擊“Add...”添加新的用戶。

如圖6所示，在第1頁“常規(guī)”上輸入用戶信息，在這個實驗中，名字為vpnuser，使用KWF的“Internal user database”。

3 VPN Client配置

Kerio VPN Client對客戶機的要求為。

CPU最低800 MHz；內(nèi)存512 MB；50MB磁盤空間；支持的操作系統(tǒng)有：Windows 2000，XP，Windows Server2003，Windows7，Windows Server 2008。

注意：不支持以前的操作系統(tǒng)，如Win9x/ME；也不能在已安裝了KWF VPN Server的計算機上安裝。

Kerio VPN Client的核心驅(qū)動kvpndrv.sys會在系統(tǒng)中模擬一個網(wǎng)絡(luò)適配器，如果安裝過程中出現(xiàn)驅(qū)動未經(jīng)過微軟驗證的問題，忽略即可。安裝完后需要重啟計算機以加載驅(qū)動。Kerio VPN Client的安裝不需要任何license，但是VPN用戶連接到KWF中的時候會計算入KWF的用戶授權(quán)。Kerio VPN Client只會自動更新本地的路由表，不會進行其他任何修改。因為這個原理，它可以同時連接到多個VPN Server上而不會有任何沖突問題。未連接VPN前，Computer A上的IP配置和路由表如下：

C：＼>ipconfig /all

Ethernet adapter Kerio VPN：

Connection-specific DNS Suffix . ：

Description . . . . . . . . . . . ： Kerio VPN adapter

Physical Address. . . . . . . . . ： 44-45-53-54-96-70

Dhcp Enabled. . . . . . . . . . . ： Yes

Autoconfiguration Enabled . . . . ： Yes

IP Address. . . . . . . . . . . . ： 169.254.47.195

Subnet Mask . . . . . . . . . . . ： 255.255.255.0

Default Gateway . . . . . . . . . ：

DHCP Server . . . . . . . . . . . ： 169.254.47.194

Lease Obtained. . . . . . . . . . ： 2014年5月4日 10：27：32

Lease Expires . . . . . . . . . . ： 2014年5月4日 10：27：42

C：＼>route print （如圖7所示）

運行KVC，界面如圖8所示，輸入KWF VPN Server IP地址和用戶賬戶。

選擇SavePasword則將用戶密碼保存在當(dāng)前Windows用戶的配置文件中；勾選PersistentConnection則可以在VPN鏈路斷開時進行自動撥號恢復(fù)。

點擊Connect，連接功能后會有以下如圖9所示的提示：

接入VPN路由表，如圖10所示。

C：＼>ping 192.168.0.8

Pinging 192.168.0.8 with 32 bytes of data：

Reply from 192.168.0.8： bytes=32 time=2ms TTL=63

以上我們可以看出兩點信息，①路由表中新添加的項；②ping內(nèi)網(wǎng)機器時的TTL值為63，表明中間經(jīng)過了一個路由器。現(xiàn)在我們來訪問Computer B（192.168.0.8），我直接使用網(wǎng)上鄰居來訪問，如圖11所示，訪問成功。