2024年4月11日发(作者:)
Juniper 防火墙远程VPN
访问配置手册
By Mast
2009年11月11日
目 录
一、 无用户认证方式.................................................- 1 -
1、 建立用户........................................................- 1 -
2、 建立VPN网关.................................................- 3 -
3、 建立- 6 -
4、 建立内部地址池..............................................- 9 -
5、 建立VPN策略...............................................- 10 -
6、 客户端软件设置............................................- 13 -
二、 有用户认证方式...............................................- 18 -
1、 建立用户......................................................- 18 -
2、 建立用户组...................................................- 19 -
3、 建立VPN网关...............................................- 21 -
4、 设置认证......................................................- 22 -
5、 建立- 23 -
6、 建立内部地址池............................................- 25 -
7、 建立策略......................................................- 25 -
8、 建立认证用户................................................- 26 -
9、 客户端软件设置............................................- 28 -
Juniper防火墙远程VPN访问配置手册
Juniper防火墙除了可以实现Site-to-Site的IPSec VPN访问之外,还可
以实现Remote-to-Site的IPSec VPN访问,极大的方便了移动办公的用户,
并且适应能力较强。笔者曾经碰到过在用Cisco的IPSec VPN客户端和远程的
中心站点能够建立连接,但不能访问的情况,而换成了Juniper的防火墙和它
的VPN客户端却能够正常的建立连接并实现对内部局域网的访问。
Juniper防火墙的VPN客户端可以实现两种方式,一种是公用同一个用户
的设置就可以建立VPN的连接,而另一种是需要建立用户,并对每个用户进行
认证,认证通过之后才可以建立VPN连接。下面分别介绍两种方式的配置过程。
硬件平台:Juniper SSG140
软件版本:ScreenOS 6.1.0r2.0 (Firewall+VPN)
客户端软件:NetScreen-RemoteVPNClient9.0r3
一、 无用户认证方式
1、 建立用户
登录到防火墙,依次选择Objects->Users->Local->New,如图1所示:
武汉市德发电子信息有限责任公司 - 1 -
Juniper防火墙远程VPN访问配置手册
图1
如图2所示输入以下内容:
User Name:whdf;
Status:选择Enable;
IKE User:勾选;
Simple Identity:选择;
IKE ID Type:选择AUTO;
IKE Identity:输入whdf@,必须以电子邮件地址的格式输入;
然后单击OK按钮,用户建立完成。
武汉市德发电子信息有限责任公司 - 2 -
Juniper防火墙远程VPN访问配置手册
图2
2、 建立VPN网关
依次选择VPNs->AutoKey Advanced->Gateway->New,如图3所示:
武汉市德发电子信息有限责任公司 - 3 -
Juniper防火墙远程VPN访问配置手册
图3
如图4所示输入以下内容:
Gateway Name:dfgw,给网关取个名,可以任意取名,自己好记就可以
了;
Dialup User:选择;
User:在下拉列表框中选择刚才建立的用户whdf;
单击Advanced按钮,进入到高级设置页面。
武汉市德发电子信息有限责任公司 - 4 -
Juniper防火墙远程VPN访问配置手册
图4
在高级设置页面进行以下设置,如图5所示:
Preshared Key:12345678,采用预共享密码的验证方式,这里的设置
需要和远程客户端软件的设置相同,自己可以随意定义,只要保持一致就可以;
Outgoing Interface:选择ethernet0/2接口,这个接口必须是选择防火
墙的公网的接口,在Juniper的防火墙中,默认是ethernet0/2接口;
User Defined:选择Custom;
Phase 1 Proposal:在第一个下拉列表框中选择pre-g2-des-MD5。这里
是定义IPSec阶段一的安全参数,这个选择表示采用Preshare(预共享)方式
验证对等体,采用组2的密钥交换算法,可以提供1024位的密钥强度,加密
算法采用1倍的DES,验证采用MD5算法,另外几个下拉列表框也可以选择,
组成IPSec阶段一的安全参数的组合,选择得越多,安全性也就越高,但在通
讯中的开销也就越大,这里就选择了较简单的方式;
Mode(Initiator):选择Aggressive模式,必须选择积极模式,否则和客
武汉市德发电子信息有限责任公司 - 5 -
Juniper防火墙远程VPN访问配置手册
户端的VPN建立不起来;
Enable NAT-Traversal:勾选,允许NAT穿越;
设置完成后,单击页面下方的Reture按钮,返回到图4的页面,再单击
OK按钮,完成VPN网关的设置。
图5
3、 建立AutoKey IKE
依次选择VPNs->AutoKey IKE->NEW,如图6所示:
武汉市德发电子信息有限责任公司 - 6 -
Juniper防火墙远程VPN访问配置手册
图6
如图7所示,输入以下内容:
VPN Name:dfvpn,取个名字用来标示VPN;
Remote Gateway:选择Predefined,并在后面的下拉列表框中选择上一
步定义的网关dfgw;
单击Advanced按钮,进入到高级设置页面。
武汉市德发电子信息有限责任公司 - 7 -
Juniper防火墙远程VPN访问配置手册
图7
在高级设置页面进行如下设置,如图8所示:
User Defined:选择Custom;
Phase 2 Proposal:在第一个下拉列表框中选择nopfs-esp-des-md5,
这是定义IPSec VPN阶段二的安全参数,nopfs表示不采用完全前向加密,esp
表示采用esp协议封装数据包,提供对整个数据包的保护,加密算法采用1倍
的des,认证采用MD5算法。和阶段一中的设置一样,也可以采用多种参数的
组合,以提高安全性,这里只采用了较为简单的方式以减少开销。
设置完成后,单击页面下方的Return按钮,返回到图7所示的页面,并
单击该页面下方的OK按钮,完成阶段二的配置。
武汉市德发电子信息有限责任公司 - 8 -
Juniper防火墙远程VPN访问配置手册
图8
4、 建立内部地址池
依次选择->Policy->Policy Elements->Addresses->List,在页面上的下
拉列表框中选择Trust,并单击New按钮,如图9所示:
图9
在新建地址本页面输入以下内容,如图10所示:
武汉市德发电子信息有限责任公司 - 9 -
Juniper防火墙远程VPN访问配置手册
Address Name:whdf,给地址本取个名字;
IP Address/Netmask(wildcard mask):192.168.4.0/22,这里是定
义允许让VPN客户端访问的局域网地址段。
完成后单击OK按钮,完成地址本的配置。
图10
5、 建立VPN策略
依次选择Policy->Policies,From下拉列表框选择Untrust,To下拉列
表框选择Trust,然后单击New按钮,如图11所示:
武汉市德发电子信息有限责任公司 - 10 -
Juniper防火墙远程VPN访问配置手册
图11
在图12所示的页面中输入如下内容:
Source Address:选择Address Book Entry,在下拉列表框中选择
Dial-UP VPN;
Destination Address:选择Address Book Entry,在下拉列表框中选
择刚才定义的地址本whdf;
Action:选择Tunnel;
Tunnel:选择第三步建立的参数dfvpn;
Logging:勾选,启用VPN的访问日志记录,这一步是可选的;
Position at Top:勾选,将本条策略放到所有策略的顶端,因为策略是按
顺序执行的,把VPN的策略放在第一条,保证能够被最先执行。
设置完成后,单击页面下方的Advanced按钮,进入高级设置页面。
武汉市德发电子信息有限责任公司 - 11 -
Juniper防火墙远程VPN访问配置手册
图12
进入到如图13所示的高级页面,进行以下设置:
NAT:勾选Source Translation;这里是使用防火墙的Trust接口进行地
址转换,以便能够访问内部资源。如果不选择,会出现VPN能够正常建立连接,
但不能访问内部网络的情况。
单击页面下方的OK按钮,退出设置。
图13
到这一步,在防火墙上的设置完成,下面需要在IPSec VPN客户端软件上
武汉市德发电子信息有限责任公司 - 12 -
Juniper防火墙远程VPN访问配置手册
进行设置。
6、 客户端软件设置
首先完成客户端软件的安装,在安装过程中会有几个地方要修改注册表,
如果安装有360之类的安全软件,会有提示的,请允许修改,否则安装不会成
功。安装完成并重新启动计算机后,在任务栏右下角托盘区会出现一个名为
Netscreen-Remote的蓝色小图标,在该图标上双击,打开安全策略编辑器。
打开后,在My Connections右键单击,添加一个连接,如图14所示:
图14
新建连接取名whdf,并进行相应的设置,如图15所示:
ID:选择IP Subnet;
Subnet和Mask:输入192.168.4.0/255.255.252.0,和防火墙中设置
的地址本保持一致;
武汉市德发电子信息有限责任公司 - 13 -
Juniper防火墙远程VPN访问配置手册
Use:勾选,并在下拉列表框中选择Secure Gateway Tunnel;
ID:选择IP Address,并在下面的输入框中输入防火墙公网接口的地址。
图15
单击刚才新建连接whdf旁边的加号,再单击My Identity,进行以下设置:
ID:在下拉列表框中选择E-mail Address,再在下面的输入框中输入
whdf@,必须和第一步中输入的IKE Identity保持一致。
然后再单击Pre-Shared Key按钮,弹出如图17所示对话框。
武汉市德发电子信息有限责任公司 - 14 -
Juniper防火墙远程VPN访问配置手册
图16
图17
单击Enter Key按钮,并在文本框中输入防火墙中设定的预共享密码
12345678,必须和第二步输入的预共享密码保持一致,然后单击OK按钮。
武汉市德发电子信息有限责任公司 - 15 -
Juniper防火墙远程VPN访问配置手册
图18
如图18所示,单击Security Policy,在右边单击Aggressive Mode,选
择积极模式。单击Authentication(Phase 1)左边的加号展开,单击Proposal
1,在右边进行如下设置,如图19所示:
Authentication:在下拉列表框中选择Pre-Shared Key;
Encrypt:在下拉列表框中选择DES;
HASH Alg:在下拉列表框中选择MD5;
Key Group:在下拉列表框中选择Diffie-Hellman Group 2;
以上的设置必须和防火墙中的阶段一的设置保持一致。
武汉市德发电子信息有限责任公司 - 16 -
Juniper防火墙远程VPN访问配置手册
图19
在单击Key Exchange(Phase 2)左边的加号展开,单击Proposal 1,
在右边窗口进行如下设置,如图20所示:
Encrypt:在下拉列表框中选择DES;
HASH:在下拉列表框中选择MD5;
Encapsulation:在下拉列表框中选择Tunnel。
以上设置必须与防火墙中阶段二保持一致。
武汉市德发电子信息有限责任公司 - 17 -
Juniper防火墙远程VPN访问配置手册
图20
客户端与防火墙的设置全部完成,用户只需在Netscreen-Remote图标上
右键单击,选择Connect,就可建立IPSec VPN的连接。请注意,这时是不需
要用户输入用户名和密码的,直接就可以建立连接了。
二、 有用户认证方式
该种方式就是在客户端进行连接时会弹出一对话框,提示输入用户名和密
码,如果用户名和密码没有通过验证的将拒绝VPN的接入。下面就介绍这种设
置方法,与前面设置相同的地方将省略。
1、 建立用户
建立用户的过程与前面的大同小异,如图21所示,与前面不同的设置为:
Number of Multiple Logins with Same ID:输入5,表示最多可以有5
武汉市德发电子信息有限责任公司 - 18 -
Juniper防火墙远程VPN访问配置手册
个用户同时接入。
图21
2、 建立用户组
依次选择Objexts->Users->Local Groups->New,如图22所示:
武汉市德发电子信息有限责任公司 - 19 -
Juniper防火墙远程VPN访问配置手册
图22
在页面中进行如下设置,如图23所示:
Group Name:dfgroup,给用户组取个名字;
在右边的可用用户中,选择whdf,并单击<<按钮,使选中的用户成为组中
的成员,这里选中刚才新建的用户,然后单击OK按钮。
武汉市德发电子信息有限责任公司 - 20 -
Juniper防火墙远程VPN访问配置手册
图23
3、 建立VPN网关
如图24所示,与前面不同的是需选择Dialup User Group,并在Group
下拉列表框中选择dfgroup,即刚才建立的用户主,并单击Advanced按钮。
图24
高级设置与前面的一样,如图25所示,略去。
武汉市德发电子信息有限责任公司 - 21 -
Juniper防火墙远程VPN访问配置手册
图25
4、 设置认证
网关设置完后,在网关的列表页面单击Xauth链接,如图26所示:
图26
进入认证设置页面,进行如下设置,如图27所示:
XAuth Server:选择;
Local Authentication:选择;
Allow Any:选择;
其余保持默认设置,单击OK按钮退出。
武汉市德发电子信息有限责任公司 - 22 -
Juniper防火墙远程VPN访问配置手册
图27
5、 建立AutoKey IKE
如图28所示新建一个AutoKey IKE参数。
图28
具体设置与前面一样,如图29所示,单击Advanced按钮进入高级设置
页面。
武汉市德发电子信息有限责任公司 - 23 -
Juniper防火墙远程VPN访问配置手册
图29
在高级页面设置中与前面不同的是:
Bind to:选择Tunnel Zone,在后面的下拉列表框中选择Untrust-Tun;
如图30所示:
图30
武汉市德发电子信息有限责任公司 - 24 -
Juniper防火墙远程VPN访问配置手册
6、 建立内部地址池
与前面介绍的一样,略去。
7、 建立策略
与前面的过程完全一样,如图所示:
图31
武汉市德发电子信息有限责任公司 - 25 -
Juniper防火墙远程VPN访问配置手册
图32
图33
8、 建立认证用户
依次选择Objects->Users->Local->New,如图34所示:
武汉市德发电子信息有限责任公司 - 26 -
Juniper防火墙远程VPN访问配置手册
图34
在新建页面用户进行如下设置,如图35所示:
User Name:wdd,根据需要输入用户名;
Status:选择Enable;
XAuth User:勾选,并在后面的Password文本输入框中输入密码;
完成后单击OK按钮。
图35
武汉市德发电子信息有限责任公司 - 27 -
Juniper防火墙远程VPN访问配置手册
9、 客户端软件设置
客户端软件的设置也前面的基本一样,只是在阶段一的设置稍有不同,如
图36所示:
图36
Authentication:在下拉列表框中选择Pre-Shared Key:Extended
Authentication;
其余的设置都按照前面的设置即可。
所有设置完成后,右键单击Netscreen-Remote,在弹出菜单中选择
Connect,这时会弹出一个用户认证的对话框,如图37所示:
武汉市德发电子信息有限责任公司 - 28 -
Juniper防火墙远程VPN访问配置手册
图37
在Username和Password中分别输入第八步中设置的用户名和密码,即
可建立VPN的连接。
防火墙中的设置由于ScreenOS软件版本不同而略有不同,但仅仅只是少
数的菜单或选项换了一个位置而已,只要找一找就可以发现的。以上设置笔者
在NS5GT、NS25、NS204,软件版本ScreenOS5.x中都做过具体的实现。
武汉市德发电子信息有限责任公司 - 29 -
发布评论