科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换Juniper netscreen VPN 配置详解

Juniper netscreen VPN 配置详解

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近测试一个remote方案的,中心点adsl用ns拨出,远程remote8配合动态域名软件(推荐华生壳2.0),非常理想。对于ns硬件之间的访问估计不久ns就会推出新的os以支持用域名来做为动态网关!!!

来源:chinaitlab 2011年8月16日

关键字: 路由交换 路由技术

  • 评论
  • 分享微博
  • 分享邮件

  一、千万不在再说,netscreen作vpn一定要固定ip

  最近测试一个remote方案的,中心点adsl用ns拨出,远程remote8配合动态域名软件(推荐华生壳2.0),非常理想。对于ns硬件之间的访问估计不久ns就会推出新的os以支持用域名来做为动态网关!!!

  关于remote+netscreen硬件组成的vpn

  1、调好ns的ppoe和nat

  2、去xicp.net注册免费账号和二级域名,并激活域名。

  3、t下载花生壳2.0(稳定性高很多)

  4、在本地(ns端)局域网任何一台电脑上安装花生壳2.0(最好是常开的服务器)

  5,安装调试remote,在新建连接的gateway tunnel选项中选择 any,

  6、在gateway hostname下面陷入你在账号中激活的免费二给域名

  7.其他调试和平时一样

  二、是不是PC一定要装remote才能使用WIN自带的VPN拨号软件与netscreen建立VPN?

  WINXP或WIN2K与netscreen建立VPN连接,最简单的配置方法是什么?

  最好可以不采用证书认证的!!!直接在NETSCREEN和WIN上做配置就可以解决的。

  用L2TP就可以了,挺简单的,把NS说明书的第四章的L2TP部分好好看一下就可以做的。

  多谢Torry的点拨,我刚Win2000下试成功,不用Netscreen Remote Client软件也能与Netscreen VPN Server建立VPN连接。

  在ScreenOS端的设置

  一、设置L2TP 用户

  1. Objects > Users > Local > New:输入以下内容,然后单击OK:

  User Name: Adam

  Status: Enable

  L2TP User: (选择)

  User Password: AJbioJ15

  Confirm Password: AJbioJ15

  2. Objects > Users > Local > New:输入以下内容,然后单击OK:

  User Name: Betty

  Status: Enable

  L2TP User: (选择)

  User Password: BviPsoJ1

  Confirm Password: BviPsoJ1

  3. Objects > Users > Local > New:输入以下内容,然后单击OK:

  User Name: Carol

  Status: Enable

  L2TP User: (选择)

  User Password: Cs10kdD3

  Confirm Password: Cs10kdD3

  二、设置L2TP 用户组

  4. Objects > User Groups > Local > New:在"Group Name"字段中,键入fs,执行以下操作,然后单击

  OK:

  选择Adam,然后使用《 按钮将它从"Available members"列中移动到

  "Group members"列中。

  选择Betty,然后使用《 按钮将它从"Available members"列中移动到

  "Group members"列中。

  选择Carol,然后使用《 按钮将它从"Available members"列中移动到

  "Group members"列中。

  三、缺省L2TP 设置

  5. Objects > IP Pools > New:输入以下内容,然后单击OK:

  IP Pool Name: global

  Start IP: 10.10.2.100

  End IP: 10.10.2.180

  6. VPNs > L2TP > Default Settings:输入以下内容,然后单击OK:

  IP Pool Name: global

  PPP Authentication: CHAP

  DNS Primary Server IP: 210.11.6.2

  DNS Secondary Server IP: 210.11.40.3

  WINS Primary Server IP: 0.0.0.0

  WINS Secondary Server IP: 0.0.0.0

  四、设置L2TP 通道

  7. VPNs > L2TP > Tunnel > New:输入以下内容,然后单击OK:

  Name: sales_corp

  Dialup Group: Local Dialup Group - fs

  Authentication Server: Local

  Outgoing Interface: ethernet3

  Peer IP: 0.0.0.0

  Host Name (optional):可以空着。

  Secret (optional): 可以空着。

  五、策略

  8. Policies > (From: Untrust, To: Trust) New:输入以下内容,然后单击OK:

  Source Address:

  Address Book: Dial-Up VPN

  Destination Address:

  Address Book: Any

  NAT: Off

  Service: ANY

  Action: Tunnel

  Tunnel L2TP: sales_corp

  Position at Top:(选择)

  在Win2000上创建VPN 客户端连接

  1、双击"控制面板\网络和拨号连接\新建连接",然后"下一步"

  2、"网络连接类型"选择"通过Internet连接到专用网络",点"下一步"

  3、公用网络,根据自己情况选择"不拨初始连接"或"自动拨此初始连接",然后"下一步"

  4、输入VPN SERVER 的域名或IP地址,点"下一步"

  5、最后给此链接起个名字就完成了这个新链接的创建

  6、还需要修改一下此链接的属性,右键点此新链接,选择"属性",在"安全措施"那里选中"高级"

  7、点"设置"按钮,在"数据加密"那里选择"可选数据加密(没有加密也可以连接)",然后"确定"保存就全部完成了

  双击这个新创建的拨号连接,输入用户名和密码进行连接。用户名和密码就是前面新增用户时输入的名字和密码。

  但我上述方法在winXP下没有试成功,因为Winxp中"我正在呼叫的VPN服务器类型"选项里好像没有单一的L2TP,只有L2TP IPSec.

  因此再请教一下Torry该怎么设呢?是否要修改server端的设置?

  多谢。

  nod.楼上的说法基本上都是正确的说,xp确实是使用了与ipsec相结合的方式。原因偶已经前天在坛子中说过了,今天再说最后一次:

  pptp,由Microsoft和Cisco合作开发提出,跑在链路层,使用Microsoft mppe进行加密。有40位和128位加密之分。

  L2TP,需要ISP支持,加密方式采用mppe和ipsec.

  ipsec,跑在网络层,一般需要安装专用的Client Software.

  pptp、l2tp、ipsec是3种风牛马不相及的DD,没有任何的联系的技术体系构架,只不过它们都可以用来实现远程访问的VPN罢了!!

  经过努力,已经试通了在WINXP下的L2TP连接

  针对以前的一些疑问,心得如下,供参考:

  1、大部分的设置与在w2k下一样,参看小弟在楼上所贴的相关设置

  2、Netscreen VPN server端无需更改设置

  3、在WinXP下,修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters,新增或修改ProhibitIpSec的值为1

  4、如果客户端是在局域网中,需避免与远程网络在同一个子网中

  曾遇到到Fushun兄说的问题,已经开始验证密码和身份了,但最终失败。后来修改本地子网后就没问题了

  希望能有帮助

  三、 我公司通过netscreen 50做公司防火墙,客户端安装netscree remote远程拔号登陆到公司邮件服务器和文件服务器。但是发现客户端通过拔号上网的方式接入internet,然后打开netscreen remote通过outlook来收发email没有问题。

  若通过adsl或vdsl拔号接入internet,然后打开netscreen remote 通过outlook来收发email,发现outlook打开后此程序没有响应,或者outlook打开后公司内部邮箱通讯薄无法找到,客户端不能收发email.

  请各位高手指点,不甚感激。

  可能问题有几种:

  1、ISP接入提供商有没有对加密所需要使用的端口和协议进行控制

  2、修改一下tcp包长的最大值,通常应该设置在1400以下

  3、机器自身有没有防火墙或者相关的代理设置

  谢谢大家支持。

  1、我修改了netscreen防火墙的tcp包长大小,更改为1200.登陆公司服务器很快,也可从文件服务器取文件,但是打开outlook仍然没有响应。

  2、我的测试手提没有安装任何防火墙软件和相关的代理设置。

  3、若是跟ISP提供商有头问题,该如何资询?提出哪此具体要求?

  4、hosttechnology朋友,你是如何配置的,请赐教。

  四、基于路由的VPN 和基于策略的VPN有什么区别,默认情况下是用哪一种方式的VPN,在FIREWALL中怎样看得出是基于路由的VPN还是基于策略的VPN,远程客户端(安装了ns remote client)配置完成后怎样与FIREWALL建立连接,要不要配置WINDOWS自带的L2TP进行拨号,

  我测试了一下,配置完客户端再用L2TP拨号客户端建立了连接,但L2TP拨不进去,也无法PING通FIRWALL后面的内网IP,直接输入内网IP访问也不行。

  基于策略的VPN,是先建好通道,然后在策略中允许VPN流量的进入。

  基于路由的VPN,是先做好TUNNEL接口,并定义路由,把通道绑定到通道接口上,这样把流量引导至VPN通道。

  REMOTE端配置完成后,只需要通过IPSEC协议就可以建立VPN通道的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章