收藏
下载资源下载资源 加入VIP,免费下载

Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx

上传人:b****5 文档编号:8519451 上传时间:2023-01-31 格式:DOCX 页数:14 大小:48.25KB
下载 相关 举报
Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx_第1页
第1页 / 共14页
Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx_第2页
第2页 / 共14页
Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx_第3页
第3页 / 共14页
Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx_第4页
第4页 / 共14页
Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx_第5页
第5页 / 共14页
点击查看更多>>
下载资源
资源描述

Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx

《Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx》由会员分享,可在线阅读,更多相关《Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx(14页珍藏版)》请在冰豆网上搜索。

Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx

JuniperNetscreen防火墙共享IKEIDIKE+XAuthVPN配置案例

按公司要求在外面mail必须要拨入VPN才能收取,同时要连到公司服务器也必须VPN。

但收取mail的人,不一定有权限能连接到citrix服务器。

所以就建立了3个组,一个只收取mail,一个只能登录citrix,一个可以2个同时登录。

同时为了便于帐号管理。

不能使用具有预共享密钥的“组IKEID”的方式来建立VPN。

1.这样建立帐号麻烦需要在cli下用:

execikepreshare-genvpn_gwlisa@

2.这样建立过后别人可以比较容易导出配置文件后,就有了VPN权限。

3.比如user1离职后,user1@的帐号没有办法删除,只能更改预共享种子密钥,这样显得比较麻烦,改了过后整个组都要改动。

4.无法查看现在已经存在的用户。

所以就使用共享IKEID方式来建立VPN,可以比上面方法“预共享密钥的组IKEID”多一步用户名密码验证。

一.防火墙上配置

1.建立组IKEID用户,并按要求分组。

1.1建立center_vpn_gIKE组,可以拨2个vpn。

mail和citrix

UserName:

center

Objects>>Users>>Local,new:

Status:

Enable

IKEUser:

(选择)

NumberofMultipleLoginswithsameID:

25(我们的防火墙最大只支持25user,就算写成50也会自己变成25的)

SimpleIdentity:

(选择)

IKEIdentity:

center@cent.sz

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入center_vpn_g,执行以下操作,然后单击OK:

选择center,并使用<< 按钮将其从AvailableMembers栏移动到GroupMembers栏中。

1.2建立mailer_vpn_gIKE组,可以拨入mail服务器的VPN

Objects>Users>>Local,new:

UserName:

mailer

Status:

Enable

IKEUser:

(选择)

NumberofMultipleLoginswithsameID:

25

SimpleIdentity:

(选择)

IKEIdentity:

mailer@cent.sz(这个不一定也要同上一个组的@cent.sz这里只是方便记忆)

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入mailer_vpn_g,执行以下操作,然后单击OK:

选择mailer,并使用<<按钮将其从AvailableMembers栏移动到GroupMembers栏中。

1.3建立citrixer_vpn_gIKE组,可以拨入citrix服务器

Objects>Users>>Local,new:

UserName:

citrixer

Status:

Enable

IKEUser:

(选择)

NumberofMultipleLoginswithsameID:

25

SimpleIdentity:

(选择)

IKEIdentity:

citrixer@cent.sz

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入citrixer_vpn_g,执行以下操作,然后单击OK:

选择mailer,并使用<< 按钮将其从AvailableMembers栏移动到GroupMembers栏中。

User:

列表

Name

 

Type

 

Group

 

Status

 

Identity

 

Configure

 

center

 

IKE

 

center_vpn_g

 

Enabled

 

center@cent.sz 

 

InUse

 

 

 

citrixer

 

IKE

 

citrixer_vpn_g

 

Enabled

 

citrixer@cent.sz 

 

InUse

 

 

 

mailer

 

IKE

 

mailer_vpn_g

 

Enabled

 

mailer@cent.sz 

 

InUse

 

 

 

Group:

列表:

GroupName

 

Grouptype

 

Members

 

Configure

 

center_vpn_g

 

ike

 

center

 

Edit

 

 

 

citrixer_vpn_g

 

ike

 

citrixer

 

Edit

 

 

 

mailer_vpn_g

 

ike

 

mailer

 

Edit

 

 

 

2.建立拨号用户并分组,当然也可以最后再来建立这些用户

2.1建立可以拨2个vpn的用户

Objects>Users>>Local,new:

UserName:

evan

Status:

Enable

XAuthUser(选择),在后面输入密码xxxxxx

建立IKEID组

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入mail_citrix_gp,执行以下操作,然后单击OK:

选择evan,并使用<< 按钮将其从AvailableMembers栏移动到GroupMembers栏中。

要继续添加别的用户方法一样

2.2建立可以拨mail的vpn用户

Objects>Users>>Local,new:

UserName:

andy

Status:

Enable

XAuthUser(选择),在后面输入密码xxxxxx

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入mail_gp,执行以下操作,然后单击OK:

选择andy,并使用<<按钮将其从AvailableMembers栏移动到GroupMembers栏中。

2.3建立可以拨citrix的vpn用户

Objects>Users>>Local,new:

UserName:

jack

Status:

Enable

XAuthUser(选择),在后面输入密码xxxxxx

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入citrix_gp,执行以下操作,然后单击OK:

选择jack,并使用<<按钮将其从AvailableMembers栏移动到GroupMembers栏中。

User:

列表

Name

 

Type

 

Group

 

Status

 

Identity

 

Configure

 

center

 

IKE

 

center_vpn_g

 

Enabled

 

center@cent.sz 

 

InUse

 

 

 

citrixer

 

IKE

 

citrixer_vpn_g

 

Enabled

 

citrixer@cent.sz 

 

InUse

 

 

 

jack

 

XAuth

 

citrix_gp

 

Enabled

 

 

InUse

 

 

 

mailer

 

IKE

 

mailer_vpn_g

 

Enabled

 

mailer@cent.sz 

 

InUse

 

 

 

Andy

 

XAuth

 

mail_gp

 

Enabled

 

 

InUse

 

 

 

evan

 

XAuth

 

mail_citrix_gp

 

Enabled

 

 

InUse

 

 

 

Group:

列表

GroupName

 

Grouptype

 

Members

 

Configure

 

center_vpn_g

 

ike

 

center

 

Edit

 

 

 

citrix_gp

 

xauth

 

jack

 

Edit

 

 

 

citrixer_vpn_g

 

ike

 

citrixer

 

Edit

 

 

 

mail_citrix_gp

 

xauth

 

evan

 

Edit

 

 

 

mail_gp

 

xauth

 

andy

 

Edit

 

 

 

mailer_vpn_g

 

ike

 

mailer

 

Edit

 

 

 

3.建立vpn的Gateway

注意:

一旦VPN完全建立好后,就不要轻易改变GW里的设置,不然很可能导致VPN不可用。

我改了一个不重要的地方keepaliveFrequency值,保存后,又改回去结果VPN还是不可以用。

现象是remotevpnclient弹出输入用户名密码的时候是乱码。

开始以为是client软件出了问题,卸载后重新安装还是那样,而且别的电脑上也这样。

最后把有关的策略、VPN(Autokeyike)、Gateway删除重建才好,奇怪!

后来在网上找到VPNs->AutoKeyAdvanced->>Xauth->>AllowedAuthenticationType:

改为Generic,但os5.05.4都没有该设置。

在5GT5.4的XAuth(位置:

返回基本Gateway配置页,点XAuth)里的确要选为Generic。

在25B5.0里没有的选,而且默认还是chap打勾的。

平时查看配置后,也尽量别点return,而点cancel。

3.1建立能同时拨mail、citrix的VPN的GW

VPNs>>AutoKeyAdvanced>>Gateway>>New:

输入以下内容,然后单击OK:

GatewayName:

center_gw

SecurityLevel:

Compatible(选择)

RemoteGatewayType:

DialupGroup(选择),center_vpn_g

PresharedKey:

abcd1234(必须要8位及以上,因为netscreenremoteclient要求必须8位以上。

OutgoingInterface:

ethernet3(这个选择你网络的外网接口)

>>Advanced:

输入以下内容,然后单击Return,返回基本Gateway配置页:

EnableNAT-Traversal(选择)

UDPChecksum(选择)

EnableXAuth:

(选择)/有的版本是XAuthServer(5GT的位置不在这里,而是先返回基本Gateway配置页,点XAuth)

LocalAuthentication:

(选择)

UserGroup:

(选择)mail_citrix_gp

3.2建立拨mail的VPN的GW

VPNs>>AutoKeyAdvanced>>Gateway>>New:

输入以下内容,然后单击OK:

GatewayName:

mailer_gw

SecurityLevel:

Compatible(选择)

RemoteGatewayType:

DialupGroup(选择),mailer_vpn_g

PresharedKey:

abcd1234(这里可以设置和上面的一样,主要是方便自己维护,为了安全最好设置成不一样的)

OutgoingInterface:

ethernet3(这个选择你网络的外网接口)

>>Advanced:

输入以下内容,然后单击Return,返回基本Gateway配置页:

EnableNAT-Traversal(选择)

UDPChecksum(选择)

EnableXAuth:

(选择)/有的版本是XAuthServer

LocalAuthentication:

(选择)

UserGroup:

(选择)mail_gp

3.3建立拨citrix的VPN的GW

VPNs>>AutoKeyAdvanced>>Gateway>>New:

输入以下内容,然后单击OK:

GatewayName:

citrixer_gw

SecurityLevel:

Compatible(选择)

RemoteGatewayType:

DialupGroup(选择),citrixer_vpn_g

PresharedKey:

abcd1234

OutgoingInterface:

ethernet3(这个选择你网络的外网接口)

>>Advanced:

输入以下内容,然后单击Return,返回基本Gateway配置页:

EnableNAT-Traversal(选择)

UDPChecksum(选择)

EnableXAuth:

(选择)/有的版本是XAuthServer

LocalAuthentication:

(选择)

UserGroup:

(选择)citrix_gp

Gateway列表:

Name

 

Type

 

Address/ID/UserGroup

 

LocalID

 

SecurityLevel

 

Configure

 

center_gw

 

Dialup

 

center_vpn_g

 

-

 

Compatible

 

Edit

 

-

 

citrix_gw

 

Dialup

 

citrixer_vpn_g

 

-

 

Compatible

 

Edit

 

-

 

mail_gw

 

Dialup

 

mailer_vpn_g

 

-

 

Compatible

 

Edit

 

-

 

4.建立VPN连接

4.1建立可以mail、citrix的VPN

VPNs>>AutoKeyIKE>>New:

输入以下内容,然后单击OK:

VPNName:

center_vpn

SecurityLevel:

Compatible

RemoteGateway:

Predefined:

(选择)center_gw

>>Advanced:

输入以下高级设置,然后单击Return,返回基本AutoKeyIKE配置页:

Bindto:

TunnelZone,Untrust-Tun

4.2建立可以到mail的VPN

VPNs>>AutoKeyIKE>>New:

输入以下内容,然后单击OK:

VPNName:

mailer_vpn

SecurityLevel:

Compatible

RemoteGateway:

Predefined:

(选择)mail_gw

>>Advanced:

输入以下高级设置,然后单击Return,返回基本AutoKeyIKE配置页:

Bindto:

TunnelZone,Untrust-Tun

4.3建立可以到citrix的VPN

VPNs>>AutoKeyIKE>>New:

输入以下内容,然后单击OK:

VPNName:

citrixer_vpn

SecurityLevel:

Compatible

RemoteGateway:

Predefined:

(选择)citrix_gw

>>Advanced:

输入以下高级设置,然后单击Return,返回基本AutoKeyIKE配置页:

Bindto:

TunnelZone,Untrust-Tun

VPN列表:

Name

 

Gateway

 

Security

 

Monitor

 

Configure

 

center_vpn

 

center_gw

 

Compatible

 

Off

 

Edit

 

-

 

citrixer_vpn

 

citrix_gw

 

Compatible

 

Off

 

Edit

 

-

 

mailer_vpn

 

mail_gw

 

Compatible

 

Off

 

Edit

 

 

 

5.建立相关Policies

5.1建立center_vpn的policies(2条,一条到mail,一条到citrix。

就算mail和citrix都在同一个zone也不能选择Multiple而加入2个地址)

5.1.1建立到mail的

Policies>>(From:

Untrust,To:

DMZ)New:

输入以下内容,然后单击OK:

SourceAddress:

AddressBookEntry:

(选择),Dial-UpVPN

DestinationAddress:

AddressBookEntry:

(选择),192.168.25.7/32

Service:

Multiple(MAIL,POP3,PING)

Action:

Tunnel

TunnelVPN:

center_vpn

ModifymatchingbidirectionalVPNpolicy:

(清除)

PositionatTop:

(选择)

5.1.2建立到citrix的

Policies>>(From:

Untrust,To:

Trust)New:

输入以下内容,然后单击OK:

SourceAddress:

AddressBookEntry:

(选择),Dial-UpVPN

DestinationAddress:

AddressBookEntry:

(选择),10.10.25.2/32

Service:

Multiple(CITRIX,HTTP,PING)

Action:

Tunnel

TunnelVPN:

center_vpn

ModifymatchingbidirectionalVPNpolicy:

(清除)

PositionatTop:

(选择)

5.2建立mailer_vpn的policy(只让到mail)

Policies>>(From:

Untrust,To:

DMZ)New:

输入以下内容,然后单击OK:

SourceAddress:

AddressBookEntry:

(选择),Dial-UpVPN

DestinationAddress:

AddressBookEntry:

(选择),192.168.25.7/32

Service:

Multiple(MAIL,POP3,PING)

Action:

Tunnel

TunnelVPN:

mailer_vpn

ModifymatchingbidirectionalVPNpolicy:

(清除)

PositionatTop:

(选择)

5.3建立citrixer_vpn的policy(只让到citrix)

Policies>>(From:

Untrust,To:

Trust)New:

输入以下内容,然后单击OK:

SourceAddress:

AddressBookEntry:

(选择),Dial-UpVPN

DestinationAddress:

AddressBookEntry:

(选择),10.10.25.2/32

Service:

Multiple(CITRIX,HTTP,PING)

Action:

Tunnel

TunnelVPN:

citrixer_vpn

ModifymatchingbidirectionalVPNpolicy:

(清除)

PositionatTop:

(选择)

至此防火墙上配置全部完成。

Vpn,gw,ikeid等的对应关系

Name

 

Gateway

 

IKEIDgroup

 

IKEID

 

XAuthgroup

 

center_vpn

 

center_gw

 

center_vpn_g

 

center@cent.sz 

 

mail_citrix_gp

 

citrixer_vpn

 

citrix_gw

 

citrixer_vpn_g

 

citrixer@cent.sz 

 

Citrix_gp

 

mailer_vpn

 

mail_gw

 

mailer_vpn_g

 

mailer@cent.sz

 

mail_gp

 

二.NetScreenRemoteVPNclient配置

1.单击Options>>Secure>>SpecifiedConnections。

2.单击Addanewconnection,在出现的新连接图标旁键入tomailserver。

3.配置连接选项:

ConnectionSecurity:

Secure

RemotePartyIDType:

IPAddress

IPAddress:

192.168.25.7

ConnectusingSecureGatewayTunnel:

(选择)

IDType:

IPAddress;218.xxx.xxx.xxx

可以看情况是否勾选onlyconnectmanually,这个的主要作用是当回到公司如果忘了禁用本软件,它也不会改变路由表。

但如果连接超时后,就必须手动在输入用户名密码重新连接。

 

4.单击位于web1图标左边的加号,展开连接策略。

5.单击Se

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 初中教育

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1