Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例文档格式.docx
- 文档编号:21655679
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:14
- 大小:48.25KB
Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例文档格式.docx
《Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例文档格式.docx》由会员分享,可在线阅读,更多相关《Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
(选择)
NumberofMultipleLoginswithsameID:
25(我们的防火墙最大只支持25user,就算写成50也会自己变成25的)
SimpleIdentity:
IKEIdentity:
center@cent.sz
Objects>
UserGroups>
Local>
New:
在GroupName字段中键入center_vpn_g,执行以下操作,然后单击OK:
选择center,并使用<
<
按钮将其从AvailableMembers栏移动到GroupMembers栏中。
1.2建立mailer_vpn_gIKE组,可以拨入mail服务器的VPN
mailer
25
mailer@cent.sz(这个不一定也要同上一个组的@cent.sz这里只是方便记忆)
在GroupName字段中键入mailer_vpn_g,执行以下操作,然后单击OK:
选择mailer,并使用<
1.3建立citrixer_vpn_gIKE组,可以拨入citrix服务器
citrixer
citrixer@cent.sz
在GroupName字段中键入citrixer_vpn_g,执行以下操作,然后单击OK:
按钮将其从AvailableMembers栏移动到GroupMembers栏中。
User:
列表
Name
Type
Group
Status
Identity
Configure
center
IKE
center_vpn_g
Enabled
center@cent.sz
InUse
citrixer
citrixer_vpn_g
citrixer@cent.sz
mailer
mailer_vpn_g
mailer@cent.sz
Group:
列表:
GroupName
Grouptype
Members
ike
Edit
2.建立拨号用户并分组,当然也可以最后再来建立这些用户
2.1建立可以拨2个vpn的用户
evan
XAuthUser(选择),在后面输入密码xxxxxx
建立IKEID组
在GroupName字段中键入mail_citrix_gp,执行以下操作,然后单击OK:
选择evan,并使用<
要继续添加别的用户方法一样
2.2建立可以拨mail的vpn用户
andy
在GroupName字段中键入mail_gp,执行以下操作,然后单击OK:
选择andy,并使用<
&
lt;
2.3建立可以拨citrix的vpn用户
jack
在GroupName字段中键入citrix_gp,执行以下操作,然后单击OK:
选择jack,并使用<
jack
XAuth
citrix_gp
-
Andy
mail_gp
evan
mail_citrix_gp
xauth
andy
3.建立vpn的Gateway
注意:
一旦VPN完全建立好后,就不要轻易改变GW里的设置,不然很可能导致VPN不可用。
我改了一个不重要的地方keepaliveFrequency值,保存后,又改回去结果VPN还是不可以用。
现象是remotevpnclient弹出输入用户名密码的时候是乱码。
开始以为是client软件出了问题,卸载后重新安装还是那样,而且别的电脑上也这样。
最后把有关的策略、VPN(Autokeyike)、Gateway删除重建才好,奇怪!
后来在网上找到VPNs->
AutoKeyAdvanced->
Xauth->
AllowedAuthenticationType:
改为Generic,但os5.05.4都没有该设置。
在5GT5.4的XAuth(位置:
返回基本Gateway配置页,点XAuth)里的确要选为Generic。
在25B5.0里没有的选,而且默认还是chap打勾的。
平时查看配置后,也尽量别点return,而点cancel。
3.1建立能同时拨mail、citrix的VPN的GW
VPNs>
AutoKeyAdvanced>
Gateway>
输入以下内容,然后单击OK:
GatewayName:
center_gw
SecurityLevel:
Compatible(选择)
RemoteGatewayType:
DialupGroup(选择),center_vpn_g
PresharedKey:
abcd1234(必须要8位及以上,因为netscreenremoteclient要求必须8位以上。
)
OutgoingInterface:
ethernet3(这个选择你网络的外网接口)
Advanced:
输入以下内容,然后单击Return,返回基本Gateway配置页:
EnableNAT-Traversal(选择)
UDPChecksum(选择)
EnableXAuth:
(选择)/有的版本是XAuthServer(5GT的位置不在这里,而是先返回基本Gateway配置页,点XAuth)
LocalAuthentication:
UserGroup:
(选择)mail_citrix_gp
3.2建立拨mail的VPN的GW
mailer_gw
DialupGroup(选择),mailer_vpn_g
abcd1234(这里可以设置和上面的一样,主要是方便自己维护,为了安全最好设置成不一样的)
EnableNAT-Traversal(选择)
(选择)/有的版本是XAuthServer
(选择)mail_gp
3.3建立拨citrix的VPN的GW
citrixer_gw
DialupGroup(选择),citrixer_vpn_g
abcd1234
(选择)citrix_gp
Gateway列表:
Address/ID/UserGroup
LocalID
SecurityLevel
center_gw
Dialup
-
Compatible
citrix_gw
mail_gw
4.建立VPN连接
4.1建立可以mail、citrix的VPN
AutoKeyIKE>
VPNName:
center_vpn
Compatible
RemoteGateway:
Predefined:
(选择)center_gw
输入以下高级设置,然后单击Return,返回基本AutoKeyIKE配置页:
Bindto:
TunnelZone,Untrust-Tun
4.2建立可以到mail的VPN
mailer_vpn
(选择)mail_gw
4.3建立可以到citrix的VPN
citrixer_vpn
(选择)citrix_gw
VPN列表:
Gateway
Security
Monitor
center_vpn
Off
citrixer_vpn
mailer_vpn
5.建立相关Policies
5.1建立center_vpn的policies(2条,一条到mail,一条到citrix。
就算mail和citrix都在同一个zone也不能选择Multiple而加入2个地址)
5.1.1建立到mail的
Policies>
(From:
Untrust,To:
DMZ)New:
SourceAddress:
AddressBookEntry:
(选择),Dial-UpVPN
DestinationAddress:
(选择),192.168.25.7/32
Service:
Multiple(MAIL,POP3,PING)
Action:
Tunnel
TunnelVPN:
ModifymatchingbidirectionalVPNpolicy:
(清除)
PositionatTop:
5.1.2建立到citrix的
Trust)New:
(选择),10.10.25.2/32
Multiple(CITRIX,HTTP,PING)
5.2建立mailer_vpn的policy(只让到mail)
5.3建立citrixer_vpn的policy(只让到citrix)
至此防火墙上配置全部完成。
Vpn,gw,ikeid等的对应关系
IKEIDgroup
IKEID
XAuthgroup
Citrix_gp
mailer@cent.sz
二.NetScreenRemoteVPNclient配置
1.单击Options>
Secure>
SpecifiedConnections。
2.单击Addanewconnection,在出现的新连接图标旁键入tomailserver。
3.配置连接选项:
ConnectionSecurity:
Secure
RemotePartyIDType:
IPAddress
IPAddress:
192.168.25.7
ConnectusingSecureGatewayTunnel:
IDType:
IPAddress;
218.xxx.xxx.xxx
可以看情况是否勾选onlyconnectmanually,这个的主要作用是当回到公司如果忘了禁用本软件,它也不会改变路由表。
但如果连接超时后,就必须手动在输入用户名密码重新连接。
4.单击位于web1图标左边的加号,展开连接策略。
5.单击Se
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例 Netscreen 防火墙 共享 IKE XAuth VPN 配置 案例
链接地址:https://www.bdocx.com/doc/21655679.html