跳轉到

Remote Access VPN

讓在外的員工用 VPN Client 連回公司內網。Check Point 提供多種用戶端與連線方式,從完整的 IPsec Client 到瀏覽器即可使用的 SSL VPN。

用戶端類型

用戶端 說明
Endpoint Security VPN 功能完整的 IPsec VPN Client(含防火牆等),企業常用
Check Point Mobile 輕量 IPsec Client
SecuRemote 免費基本 IPsec Client
SSL Network Extender(SNX) 隨選 thin client,有 Network mode 與 Application mode
Capsule Workspace / Connect iOS / Android 行動端 client
Mobile Access(SSL VPN) 用瀏覽器即可連,無需裝完整 Client,適合 BYOD / 臨時存取

連線方式:IPsec vs SSL

  • IPsec(VPN Client):建立完整的網路層隧道,使用者像在內網;需安裝 Client。
  • SSL VPN(Mobile Access):走 HTTPS,瀏覽器即可用;適合存取特定 Web 應用、檔案。

認證方式

Remote Access 通常需要較強的認證:

  • 使用者帳密(本地 / LDAP / AD / RADIUS)
  • 憑證(裝在使用者裝置)
  • 多因素 MFA(搭配 RADIUS / 第三方,例如 OTP、推播)

結合 Identity Awareness

Remote Access 登入的使用者身分可餵給 Identity Awareness,讓 Access Control 規則直接用「使用者 / AD 群組」控管遠端使用者能存取什麼。

Office Mode

遠端使用者連進來後,Gateway 會發一個內部 IP(Office Mode IP)給 Client,讓它在內網有合法位址、避免與家用網段衝突。可用 IP Pool 或 DHCP 配發。

設定流程(概要)

  1. Gateway 啟用 IPsec VPN(及需要的 Mobile Access)Blade。
  2. 建立 / 使用 Remote Access VPN Community,把 Gateway 設為成員。
  3. 設定使用者 / 群組與認證方式(LDAP/AD、RADIUS、憑證、MFA)。
  4. 設定 Office Mode IP 配發。
  5. Access Control 規則允許 Remote Access 使用者存取目標資源。
  6. 發布 Client 安裝包給使用者(可預先打包設定,省去逐台設定)。

預設走 IKEv1

Remote Access Client 預設使用 IKEv1

Check Point 的 Remote Access VPN Client 預設以 IKEv1 協商。想用更快、更穩、抗斷線的 IKEv2,需要 R82 Gateway + E88.40 以上 client 並額外啟用(R81.20 不支援 client IKEv2)—— 見下一篇 Remote Access 啟用 IKEv2

驗證與排錯

# 看目前連線中的遠端使用者 SA
vpn tu

# IKE 協商 debug
vpn debug ikeon
#  ... 重現使用者連線 ...
vpn debug ikeoff      # 檢視 $FWDIR/log/ike.elg

# Mobile Access(SSL)相關
cpstat -f all

版本提醒

Remote Access 架構在 R81.10 ~ R82.10 一致。VPN Client(E8x 系列)版本與 Gateway 版本各自演進;要用 IKEv2、TLS 1.3、現代演算法或新的 MFA 整合時,Client 與 Gateway 都盡量用較新版本。

小結

  • 多種用戶端:完整 IPsec Client、輕量 Client、瀏覽器 SSL VPN。
  • 認證建議用 AD/LDAP/RADIUS + MFA,並結合 Identity Awareness。
  • Office Mode 發內部 IP 給遠端使用者。
  • 預設走 IKEv1,要 IKEv2 需另外啟用。