探析Kerio Winroute Firewall VPN

吴桂华

[摘 要] 近期看到很多人在一些IT技术论坛上关于Kerio Winroute Firewall VPN的相关提问，笔者希望本文能够起到抛砖引玉的作用。笔者介绍了KWF（Kerio Winroute Firewall）中VPN的核心概念，VPN Server配置，VPN Client配置，以便读者能够更好地理解和掌握KWF VPN。

[关键词] 探析；KWF；VPN；使用方法

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 18. 078

[中图分类号] TP316 [文献标识码] A [文章编号] 1673 - 0194（2014）18- 0128- 03

1 KWF中VPN的核心概念

KWF（Kerio Winroute Firewall）的VPN服务器和其他很多修改远程客户的默认网关的VPN服务器不一样，除了给远程客户分配IP外，它只是通过客户端的VPN Client修改远程客户的路由表，就像客户多了个接入到新网络的接口和添加了对应的路由项，而不修改远程客户的默认网关。除了Site-to-Site VPN （VPN Tunnel）外，都是KWF VPN服务器向VPN Client提供路由信息。它按照以下规则提供路由信息。

默认路由信息不提供。有冲突的网络信息不提供（如远程客户处于192.168.0.0/24子网，而VPN服务器内网也有个192.168.0.0/24的子网，则该子网路由信息不提供给远程客户）。其他子网全部提供。

远程客户的路由表由VPN Client负责更新，当发生以下情况时，VPN Client更新本地路由表。

建立了VPN Tunnel或者当远程客户连接到VPN Server。VPN Tunnel的任何一方路由信息改变或者远程客户连接到的VPN Server上的路由信息改变。对于不同的连接，更新周期是不同的。VPN Tunnel 是30s一次，连接到VPN Server的VPN Client是1min一次，不管是否有数据更新。下面我从VPN Server和VPN Client两方面来说明KWF VPN的使用。

2 VPN server配置

一次完整的VPN Server设置应该包含以下4个步骤：

安装VPN Server；启用VPN Server；建立VPN users；配置Traffic policy；

2.1 安装VPN Server

在安装KWF 6.01的时候，默认情况下会安装VPN Server组件。如果你是使用自定义安装，记得勾选VPN Support组件。

2.2 启用VPN Server

如图1所示，在首次进入KWF管理界面时，会出现Network rules Wizard，在第5页，记得选择“Yes，I want to use Kerio VPN”。

如图2所示，默认情况下，VPN Server会随机使用一个和内部网络不同的C类网络。可以根据自己的需要进行修改。

如图3所示，双击VPN Server进入它的属性，在这次实验中，笔者将其使用网络改为172.16.0.0/24。

如图4所示，点击“Advanced”进入其高级设置，在里面，操作者可以修改VPN服务器使用的端口和连接时使用的证书。

2.3 建立VPN users

VPN users是和KWF用户集成的，可以使用Active Directory用户数据库或者KWF内部的用户数据库。如图5所示，在Users控制台点击“Add...”添加新的用户。

如图6所示，在第1页“常规”上输入用户信息，在这个实验中，名字为vpnuser，使用KWF的“Internal user database”。

3 VPN Client配置

Kerio VPN Client对客户机的要求为。

CPU最低800 MHz；内存512 MB；50MB磁盘空间；支持的操作系统有：Windows 2000，XP，Windows Server2003，Windows7，Windows Server 2008。

注意：不支持以前的操作系统，如Win9x/ME；也不能在已安装了KWF VPN Server的计算机上安装。

Kerio VPN Client的核心驱动kvpndrv.sys会在系统中模拟一个网络适配器，如果安装过程中出现驱动未经过微软验证的问题，忽略即可。安装完后需要重启计算机以加载驱动。Kerio VPN Client的安装不需要任何license，但是VPN用户连接到KWF中的时候会计算入KWF的用户授权。Kerio VPN Client只会自动更新本地的路由表，不会进行其他任何修改。因为这个原理，它可以同时连接到多个VPN Server上而不会有任何冲突问题。未连接VPN前，Computer A上的IP配置和路由表如下：

C：＼>ipconfig /all

Ethernet adapter Kerio VPN：

Connection-specific DNS Suffix . ：

Description . . . . . . . . . . . ： Kerio VPN adapter

Physical Address. . . . . . . . . ： 44-45-53-54-96-70

Dhcp Enabled. . . . . . . . . . . ： Yes

Autoconfiguration Enabled . . . . ： Yes

IP Address. . . . . . . . . . . . ： 169.254.47.195

Subnet Mask . . . . . . . . . . . ： 255.255.255.0

Default Gateway . . . . . . . . . ：

DHCP Server . . . . . . . . . . . ： 169.254.47.194

Lease Obtained. . . . . . . . . . ： 2014年5月4日 10：27：32

Lease Expires . . . . . . . . . . ： 2014年5月4日 10：27：42

C：＼>route print （如图7所示）

运行KVC，界面如图8所示，输入KWF VPN Server IP地址和用户账户。

选择SavePasword则将用户密码保存在当前Windows用户的配置文件中；勾选PersistentConnection则可以在VPN链路断开时进行自动拨号恢复。

点击Connect，连接功能后会有以下如图9所示的提示：

接入VPN路由表，如图10所示。

C：＼>ping 192.168.0.8

Pinging 192.168.0.8 with 32 bytes of data：

Reply from 192.168.0.8： bytes=32 time=2ms TTL=63

以上我们可以看出两点信息，①路由表中新添加的项；②ping内网机器时的TTL值为63，表明中间经过了一个路由器。现在我们来访问Computer B（192.168.0.8），我直接使用网上邻居来访问，如图11所示，访问成功。