juniperSSG防火墙VPN配置.docx

1、juniperSSG防火墙VPN配置第六章 VPN6.1 Client to site 的VPN（远程用户）如果一台PC在公司外面通过拨号上网获得公网IP地址，通过VPN client的软件来和公司内部建立VPN连接的，必须要使用client软件来配合，假设netscreen trust接口的内部地址为192.168.1.0网段。1、建立用户：Objects Users Local New，如图：输入User Name ，Status 选择为Enable ，将IKE User的复选框选中，并选择Simple Identity ，在IKE Identity中输入字符串 ateam 。单击OK按钮

2、后退出。2、建立远程的网关：VPN AutoKey Advanced Gateway中，单击右边New按钮，如图：输入相应的Gateway Name为ateam_vpn ，Security Level选择为Custom ，Remote Gateway Type中选择Dialup User ，并选择用户名为刚才我们所建立的用户名。在Preshared Key中输入自己定义的密钥 “netscreen”，然后单击Advanced按钮，如图Phase 1 Proposal选择为pre-g2-des-md5 ，Mode (Initiator)选择为Aggressive 。其他保持默认。单击Reture

3、n返回上一页面，并单击OK按钮退出。3、在VPN Autokey IKE New，如图在VPN Name中输入相应的名称，Remote Gateway选择我们刚才建立的网关ateam_vpn ，单击Advanced按钮，如图：Phase 2 Proposal选择g2-esp-des-md5 ，并单击Return返回前一页面，并单击OK按钮退出。4、建立Policies From中选择Untrust ，在To中选择Trust ，单击New按钮，如图：在Source Address中选择Address Book ，并从下拉菜单中选择Dial-Up VPN ，Destination Address中

4、输入本公司内部地址段192.168.1.0 ，子网掩码为255.255.255.0 。Action选择为Tunnel ，Tunnel VPN选择我们建立的ateam_vpn ，将Position at Top的复选框选中。单击OK按钮按钮退出。5、PC端的设置：将客户端VPN软件安装后，在任务栏右下角会有一个蓝色的图标，双击打开Security Policy Editor ，如图：在MyConection上右键单击，依次Add-Connection ，新建立一个VPN连接，名称为test 。6、单击名为test的VPN连接，如图：在Connection Security中选择Securite

5、，在Remote Party Identity and Addressing中，ID Type选择为IP Subnet ，Subnet中输入公司内部网络号192.168.1.0 ，Mask中输入255.255.255.0 。将Connet using Secure Gateway Tunnel选中，并在ID Type 中选择IP Address ，并输入Netscreen 的公网IP 61.152.219.14 。7、单击Security Policy ，按照下图进行设置8、单击My Identity ，按照下图进行设置：在Select Certificate中选择None ，ID Type选

6、择E-mail Address ，并输入ateam 。然后单击Pre-Shared Key ，如图并输入在Netscreen中Gateway中事先定义的密钥netscreen ，然后单击OK按钮确认。9、单击Security Policy 前面的+ ，依次展开Security Policy Authentication (Phase 1) Proposal1 ，进行如图的配置。10、展开Key Exchange(Phase2) Proposal1 ，进行如图的设置：11、单击File Save或者Save的图标，保存设置。12、在屏幕右下方的Netscreen的小图标上右键单击，选择Reloa

7、d Security Policy ，使刚才设置的VPN策略生效。这时，如果你ping公司的内部IP地址的话，在Netscreen的小图标上会有黄色的小钥匙，并有绿色的小点在闪动，证明已经和内部IP建立起正常的VPN通信了。如果你要把当前VPN的配制导出在另外的PC上使用，可以单击File Export Security Policy ，提示你是否要保护该策略不被修改，如果选择Yes的话，则生成的策略文件在重新导入到PC的时候不能被修改；如果选择No的话，是可以继续修改的。这里建议选择Yes ，以确保不被修改。6.2 建立L2TP 连接6.2.1网络结构图建立参数： 地址池名：l2tp-poo

8、l 地址池范围：192.168.2.2-192.168.2.10DNS Servers：192.168.1.102 192.168.1.103Primary WINS Server： 192.168.1.100 Secondary WINS Server： 192.168.1.101 L2TP用户认证：本地 用户名：liang密码： liang6.2.2配置防火墙WebUI配置1、 建立l2tp用户 Object Users Local , 单击New 按钮在username 中填入liang，填入密码 liang。选中L2TP User，其他选项保持默认。单击OK按钮后退出。2、 建立IP

9、Pools Object IP Pools 单击 New 按钮在 ip pool name 中填入 l2tp-pool。在start ip 填入开始ip地址（192.168.2.2）在end ip 中填入结束ip地址（192.168.2.10）。单击OK按钮退出。 3、 建立L2TP VPNs L2TP Default Settings 按照下图所示填入相应信息。填入完毕后单击apply按钮。4、 建立L2TP Tunnel在 VPNs L2TP Tunnel 单击 New 按钮按照下图进行设置。设置完毕后单击OK按钮退出。5、 建立目的地址本 Object Address List 在下拉菜

10、单中选中trust 单击new按钮。按照下图填写，填写结束后单击OK按钮退出。6、 建立策略 需要建立从untrust 访问trust 的策略。在目的地址栏中选择下拉菜单中的（192.168.1.0/24）,L2TP选择我们前面建立好的liang-vpn.输入完毕后 单击 OK按钮退出。命令行步骤：1、 建立l2tp用户set user “liang” enableset user “liang” type l2tpset user “liang” password “liang”2、 建立L2TP地址池set ippool “l2tp-pool” 192.168.2.2 192.168.2.

11、10注：和内部端口地址不在同一网段。3、 建立DNS、Wins地址a、 所有的用户都使用相同的DNS和WINS地址时，set l2tp default dns1 192.168.1.102set l2tp default dns2 192.168.1.103set l2tp default wins1 192.168.1.100set l2tp default wins2 192.168.1.101b、 基于不同用户使用不同的DNS和WINS地址时set l2tp “liang-l2tp” remote-setting dns1 172.1.1.1 set l2tp “liang-l2tp”

12、remote-setting dns2 172.1.1.2set l2tp “liang-l2tp” remote-setting wins1 172.1.1.3set l2tp “liang-l2tp” remote-setting wins1 172.1.1.44、 建立L2TP Tunnel策略set l2tp “liang-l2tp” outgoing-interface ethernet4 keepalive 60set l2tp “liang-l2tp” remote-setting ippool “l2tp-pool” 也可根据用户身份建立不同的Tunnel地址策略：set l2

13、tp “liang-l2tp” auth server “Local” user “liang” set l2tp “test-l2tp” anth server “local” user “test”5、 建立防火墙安全策略set policy id 6 from “ouside” to “inside” “Any” “192.168.1.0/24” “ANY” Tunnel l2tp “liang-l2tp” log注：注意区域的定义。6.2.3 Windows 2000设置在开始菜单中选择新建网络连接，Windows 2000会弹出网络连接向导。如下图。选中通过internet 连接到专

14、用网络。按下一步继续。选择不初始连接。按下一步继续。输入Netscreen 防火墙的外网接口地址。本例中是 10.5.2.142。按下一步继续。您可以根据自己的需要来选择 所有用户可用此连接还是仅有您自己可以使用此连接。键入l2tp。选中在我的桌面上添加一快捷方式。选择设置选择设置注意：缺省情况下，Windows 2000 将执行 IPSec 上的 L2TP。要强制其仅使用 L2TP，必须在注册表中找到 ProhibitIPSec 密钥并将 0 (IPSec 上的 L2TP) 更改为 1( 仅 L2TP )。( Juniper Networks 建议您在执行此操作前对注册表进行备份。) 单击开

15、始 运行： 键入 regedit。双击 HKEY_LOCAL_MACHINE System CurrentControlSet Services RasMan Parameters。双击 ProhibitIPSec： 在“数值”数据字段中键入 1，选择十六进制作为基值，然后单击确定。重新启动计算机。( 如果注册表中没有类似条目，可以新建一个键名为ProhibitIPSec的双字节的键，数据字段为1。)6.2.4 测试单击连接连接接通后将在任务栏右下脚将显示接收到新的地址：验证l2tp6.3 站点到站点 VPN 配置IPSec VPN 通道存在于两个网关之间，同时每个网关都需要一个 IP 地址。

16、当两个网关都拥有静态 IP 地址时，可配置以下种类的通道： 站点到站点 VPN，自动密钥 IKE 通道 ( 具有预共享密钥或证书) 站点到站点 VPN，手动密钥通道当一个网关拥有静态地址，而另一个网关拥有动态分配的地址时，可配置以下种类的通道： 动态对等方站点到站点 VPN，自动密钥 IKE 通道 ( 具有预共享密钥或证书)用于此处时，静态站点到站点 VPN 包括一个连接两个站点的 IPSec 通道，每个站点都拥有一个作为安全网关的NetScreen 设备。在两个设备上用作出接口的物理接口或子接口都有一个固定的 IP 地址，同时内部主机也拥有静态IP 地址。如果 NetScreen 设备处于“

17、透明”模式下，则它将 VLAN1 地址当作出接口的 IP 地址使用。对于静态站点到站点 VPN，由于远程网关的 IP 地址保持不变而可以到达，因此，位于通道任一端的主机都可启动 VPN 通道设置。如果其中一个 NetScreen 设备的出接口具有动态分配的 IP 地址，则该设备在术语上被称为“动态对等方”，并且具有不同的 VPN 配置。对于动态对等方站点到站点 VPN，由于只有那些位于动态对等方后面的主机的远程网关才有固定的 IP 地址，并且可以从它们的本地网关到达，因此只有它们才能启动 VPN 通道设置。但是，当在动态对等方和静态对等方之间建立通道之后，如果目标主机有固定的 IP 地址，则在

18、两个网关之中的任一个网关后面的主机均可发起VPN 信息流。6.3.1 基于策略模式的动态地址VPN（野蛮模式）6.3.1.1 地址分布图注意：在上图中x=1,y=2。SiteNetscreen-A（5200）Netscreen-B（5xp）防火墙的外部端口地址1.1.1.1/24DHCP或ADSL 动态地址(1.1.1.2/24)(local id )防火墙的内端口地址192.168.1.0/24192.168.2.0/24Phase 1 Proposalpre-g2-3des-shapre-g2-3des-shaPhase 2 Proposalg2-esp-3des-shag2-esp-3d

19、es-sha注意：为了简化操作，本例中我们用静态地址来假设5xp通过DHCP或ADSL来获得的地址，我们使用1.1.1.2/24这个地址。可以用如下命令来启用DHCP CLIENT。Set interface untrust dhcp client enable 。6.3.1.2 WebUI配置步骤：Netscreen-A的配置步骤1. 选择 VPNs AutoKey Advanced Gateway 2. 单击New 按照下图输入相关参数：Gateway Name： Site B GW Security Level： Custom Remote Gateway： 选择 Dynamic IP

20、Address, 在Peer id中输入： Preshared Key： netscreen Outgoing Interface： E3 (或者是连接到互联网的端口t) 单击 Advanced Phase 1 Proposal： pre-g2-3des-sha Mode (Initiator)： Aggressive 其他部分保持默认选择： Return选择： OK注意：关于接口如何设置ip地址，划分安全区域等操作请参考前面部分章节，本节中仅包括建立VPN的基本步骤。3. 选择VPNs Autokey IKE 4. 选择 New 按照下图输入相关参数VPN Name： Site B VPN

21、Security Level： Custom Remote Gateway： 选择 Predefined, 并选择 Site B GW 单击Advanced 按钮Phase 2 Proposal： g2-esp-3des-sha 其他参数保持默认单击 Return 按钮单击 OK 按钮5. 选择 Policy From Trust to Untrust Zone New Source Address： 192.168.1.0/24 Destination Address： 192.168.2.0/24 Service： Any Action： Tunnel Tunnel： Site B VPN

22、 Modify matching bidirectional VPN policy： Enabled Position at Top： Enabled单击 Ok 按钮CLI Netscreen-A 1. 接口set interface ethernet1 zone trustset interface ethernet1 ip 192.168.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/242. VPN预共享密钥set ike ga

23、teway Site B GW address 2.2.2.2 aggressive outgoing-interface ethernet3preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn Site B VPN gateway Site B GW sec-level compatible4. 路由set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.2545. 策略set policy top from trust to untrust 192.168

24、.1.0/24 any tunnel vpn Site B VPNset policy top from untrust to trust 192.168.2.0/24 any tunnel vpn Site B VPNNetscreen-B的 WebUI配置步骤：1. 选择 VPNs AutoKey Advanced Gateway 2. 单机New 在以下参数上输入：Gateway Name： Site A GW Security Level： Custom Remote Gateway： 1.1.1.1 Preshared Key： netscreen Local ID： Outgoin

25、g Interface： untrust (或者是连接Internet的端口) 单击 Advanced Phase 1 Proposal： pre-g2-3des-sha Mode (Initiator)： Aggressive Click Return单击 OK 按钮3. 选择VPNs Autokey IKE 4. 选择 New VPN Name： SiteA VPN Security Level： Custom Remote Gateway：单击 Predefined, 然后从下拉菜单中选择 SiteA GW 选择 Advanced Phase 2 Proposal： g2-esp-3de

26、s-sha 其他选项保持默认单击Return 按钮单击OK按钮5. 增加策略 选择From Trust to Untrust Zone New 按照下列参数填写。Source Address： 单击New Address, and enter 192.168.2.0/24 Destination Address： 单击 New Address, and enter 192.168.1.0/24 Service： Any Action： Tunnel Tunnel： SiteA VPN Modify matching bidirectional VPN policy： Enabled 单击 OK

27、 按钮 Position at Top： Enabled测试在Netscreen-B trust 端口连接一台Pc机，运行Ping命令进行测试。6.3.2 站点到站点的VPN（主模式）6.3.2.1 网络图6.3.2.2 配置步骤Netscreen防火墙的默认IP为192.168.1.1/255.255.255.0，接口为E1口。用户名和密码相同：netscreen；可采用下一步中的WEBUI方法来进行配置。键入相应用户名：netscreen和密码：netscreen(默认)进入WEB管理界面，选择NetworkInterfaces ethernet1 EDIT (修改图中画线的部份)：A、Z

28、one Name：从设备连接图中可以看出端口和内网相连，所以我们要选择Trust；B、IP Address/Netmask：填写192.168.2.1/24或其他上网用户网关地址；C、Manage Ip：一般系统不允许修改；D、Interface Mode：选择NAT转换模式；E、Management Services：选择图中的几项，为了远程管理防火墙。F、Other Services：建议选择PING，方便测试网络的连通情况。CLI 输入如下：set interface e1 ip 192.168.2.1/24set interface e1 manage webset interface

29、 e1 manage telnetset interface e1 manage ping3、UNtrust通道的配置（请参照下图） 点击菜单中Network Interfaces，在出现的界面中点击端口名为：ethernet3后的EDIT（5GT为untrust），出现上图中内容。修改图中画线的部份：A、Zone Name：从设备连接图中可以看出端口三和公网相连，所以我们要选择UNTrust；B、Obtain IP using PPPoE：填写上网的用户名和密码；（如果用户使用的是固定IP，则选择static IP：填写对应的IP地址）C、Manage Ip：一般系统不允许修改；D、Inte

30、rface Mode：选择NAT转换模式；E、Management Services：为了安全建议不选择任何内容；F、Other Services：建议不选择PING。CLI输入如下：set interface ip 202.96.123.123/30（静态IP）set pppoe interface ethernet3set pppoe username name_str password pswd_strexec pppoe connect4、路由的配置（请参照下图）点击菜单中Network Routing Routing entries ，在出现的界面中可以看出当我们拔号成功时系统能够自动为我们加上路由（因为采用的是动态IP），所以没有必要在手功加路由了。（如果你使用的是静态IP则需要手动添加路由，在刚才界面的右上角点击“new”如下）1、 network address/netmask：输入0.0.0.0/02、 选择gateway，interface选择外网口如E3（5GT为un