1、Juniper SSG 安全网关远程拨号 VPN 配置模版,2,网络拓扑,202.102.100.2/30,192.168.1.1/24,公司A,192.168.1.0/24,移动用户VPN 客户端,3,远程用户 通过IPsec Dialup VPN访问 公司A,Dial-up User 设定部分 设定用户的IKE ID,Phase 1 部分 IKE Gateway VPN的向外接口IKE Gateway 地址Phase 1 协议Pre-shared KeyDiffie-Hellman group numberEncryption AlgorithmAuthentication Algorit
2、hmPhase 2 部分 VPN n名称Phase 2 proposalDiffie-Hellman group number for PFS (optional)IPSec protocol (ESP or AH)Encryption AlgorithmAuthentication AlgorithmVPN 安全策略Netscreen Remote 客户端的设置,4,配置Dial-up用户 (远程拨号),设置IKE ID,设定其它值会导致异常,客户端也须配置两者须一致,5,配置dialup VPN Gateway,IKE Phase 1,选择dialup user,并在对应下拉菜单选择我们刚
3、才设定的用户。,点击高级进行继续配置,6,设置共享密钥,客户端也须设置相同的值(最少8位),注意dial-up VPN使用Aggressive模式,如果VPN连接中有NAT存在,请勾选此项,开启穿透功能;并做UDP Checksum检查,配置dialup VPN Gateway 高级选项,7,配置 dialup VPN,在下拉菜单选取前面定义的IKE Gateway,8,配置dialup VPN 高级选项,IKE Phase 2,VPNs AutoKey IKE Edit (Advanced),9,公司A 远程拨号VPN策略的设置,注意起始区域,源地址选择Dial-Up VPN(系统自定义),
4、Action选择Tunnel,选择创建的dialup VPN,10,公司A 远程拨号VPN策略的设置,远程拨号VPN 安全网关处配置完成,11,Netscreen Remote远程客户端的配置 01,新建一个连接,取名后,点中它,出现右方基本配置界面。,在该选项中输入我们的目标地址,即安全网关后面的内部子网/主机的地址。,选中该选项,并在ID中选取IP Address,输入安全网关的外网口地址。,202.102.100.2,12,Netscreen Remote远程客户端的配置 02,点击新建连接的加号键,点中My Identity进行设置,在Select中选择None;在Pre-Shared
5、 Key中输入与前面安全网关Gateway配置中一致的值。,在ID选项中选择E-mail Address,然后输入与前面安全网关Dial-up 用户配置中一致的值。,13,Netscreen Remote远程客户端的配置 03,选中Security Policy进行设置。,在Select Phase 1 Negotiation Mode中选择Aggressive Mode。,根据前面在安全网关中IKE VPN中Phase 2 Proposal选择的不同,选择是否使用PFS。,14,Netscreen Remote远程客户端的配置 04,选中Proposal 1,进行Phase 1的设置。,根据前面在安全网关中IKE Gateway中Phase 1Proposal的选择,选择一致的选项。,15,Netscreen Remote远程客户端的配置 05,选中Proposal 2,进行Phase 2的设置。,根据前面在安全网关中IKE VPN中Phase 2Proposal的选择,选择一致的选项。,16,远程拨号 VPN 配置完成,启动拨号软件 进行访问公司内网地址测试,
