首先仍然先聊下情景。

设备：Watchguard-X505e

接入方式：常规二层运营商接入，下游一台二层交换机

需求：客户需要在出差时候，使用×××拨入内网进行作业。

说俩句，客户这样的需求，在现实情况中是很常见的。比如；SSG-L2TP、Cisco-easy***等等，只是这个国外的设备，日常接触较少。配置起来相当没思路。自己手上有几个使用此款防火墙的客户，所以此次特意拿了点做一些分享。

好，直接上菜。

【怎么登陆，怎么连接，怎么进入配置界面，太小白的操作，我就不介绍了】

第一步：×××-mobile *** –Ipsec

第二步：ADD 新建-下一步即可：

第三步：创建用户group组，选择firebox-DB（即等同于SW：local-aaa）并命名；下一步

第四步：选择隧道认证方式：user this passphrase （使用静态密码），下一步

第五步，即定义mobile***拨上后，终端的流量如何走向，第一个是自定义流量走向（安全性低，扩展新强），第二个是强制所有的流量走×××隧道（安全性高，扩展性低）

第六步：定义移动拨入的×××用户可以访问的地址段：

第七步：定义移动用户拨入后获取虚拟地址池：

第八步：mobile-***配置完成：

第九步：

这时候回到配置的主界面可以看到，×××策略已经建立完成。显示如下：

第十步：

现在要做的就是添加×××拨入的用户+密码：

选择modify policy

第十一步：

点开modify policy后可以看到如下界面：

Allowed resource ：×××用户允许访问的目的网段

Specify users ：×××用户【即我们SSG系列中的USER选型】

第十二步：

点击specify user 后显示如下界面，即使用firebox的本地数据库。点击ADD

第十三步：

以下qujun为之前创建过的用户可忽略，点击ADD

第十四步：

在firebox-DB（本地数据库）中创建用户。

User：用户

user group ：之前创建用户组-mobile***

点击ADD

第十五步：

创建用户名和密码：

Name：用户名

description：描述passphrase：密码confirm：密码确认session timeout：会话超时idle timeout：初始化时间

第十六步：

添加完成：点击确认即可

第十七步：

选择新创建的用户allen，确认即可

别忘记在右上角保存配置文件。

此时整个mobile***配置全部结束。可以开始进行导入拨号了。

watchguard的×××拨入，需要下载特定的客户端软件，软件比较难找，若实在没办法找到，可以留言给我，我邮件发给你。

因为watchguard的×××拨入前需要导入等操作，该教程择日进行独立讲解。感谢各位的光临，不喜勿喷