NetScreen防火墙VPN配置
Netscreen防火墙上建立VPN一般有两种:一是Site到Site的VPN ,就是两个LAN之间建立的VPN 。一种是客户端PC访问公司内部的VPN ,就是PC到Site的方式。
一 。Site到Site的VPN:
总部和分部之间欲通过VPN方式连接。其中总部使用NetScreen204防火墙,公网IP地址为通过LinkProof设备NAT获得的218.17.228.39;而分部使用SonicWall防火墙,具有公网IP为61.144.203.20.
我们先在netscreen上设定:1、建立第一阶段的数据加密方式及数据完整检验的算法。在netscreen左边树状目录中选择VPN -> AutoKey Advanced -> P1 Proposal ,单击右边的New按钮,建立自定义的数据加密方式及完整检验算法。
输入名称为to_sonicwall ,选择Authentication Method方式为Preshare ,DH Group 选择为Group1 ,Encryption Algorithm选择为DES-CBC ,Hash Algorithm选择为MD5 ,Lifetime选择为28800秒。然后单击OK退出。
2、建立第二阶段的数据加密及数据完整检验方式:在netscreen左边树状目录中选择VPN -> AutoKey Advanced -> P2 Proposal ,单击右边的New按钮,建立自定义的数据加密方式及完整检验算法。
输入名称为2sonicwall ,Perfect Forward Secrecy选择DH-Group1,在下面的Encapsulation中选择Encryption (ESP),并选择加密算法为3DES-CBC方式,Authentication Algorithm选择为MD5 ,Lifetime选择为28800秒。然后单击OK退出。
3、建立远程的网关:在树状目录中,VPN -> AutoKey Advanced ->Gateway中,单击右边New按钮:
输入网关名称为sonicwall ,Security Level选择为Custom ,Remote Gateway Type选择为Static IP Address并输入对方sonicwall的公网IP地址 61.144.203.20 ,在下面的Preshared Key输入自己定义的密钥,这里我们统一为netscreen ,然后单击Advanced按钮,在Phase 1 Proposal中我们选择刚才建立的to_sonicwall ,Mode (Initiator)选择为Main (ID Protection) ,然后单击Return 返回前一页面,并单击OK退出。
4、建立第二阶段的IKE :VPN -> AutoKey IKE ,单击右边New按钮:
输入VPN的名称,Security Level选择为Custom,Remote Gateway选择为Predefined ,并选择为刚才我们建立的sonicwall网关。单击Advanced 按钮:
Phase 2 Proposal选择为我们刚才建立2sonicwall ,然后单击Return返回前一页面,并单击OK退出。
5、单击左边的Policies ,选择From中的Trust ,以及To中的Untrust ,并单击New按钮:
Source Address在New Address中输入netscreen后的网络地址10.1.1.0 ,子网掩码为255.255.255.0 。Destination Address中输入京广中心的内部网络号172.16.80.0 ,子网掩码为255.255.255.0。在Action中选择Tunnel ,Tunnel VPN选择为我们建立的to sonic ,并将Modify matching bidirectional VPN policy和Position at Top的两个复选框选中。单击OK按钮退出。
然后在Sonicwall上进行设置:
此处略过。
二 。PC到Site的VPN:
如果一台PC在公司外面通过拨号上网获得公网IP地址,通过VPN client的软件来和公司内部建立VPN连接的,必须要有client软件来配合,假设netscreen后的公司内部地址为192.168.1.0网段。
1、建立用户:在树状目录中,Objects ->Users->Local ,单击右边New按钮:
输入User Name ,Status 选择为Enable ,将IKE User的复选框选中,并选择Simple Identity ,在IKE Identity 中输入字符串 ateam@ateam.com.cn 。单击OK后退出。
2、建立远程的网关:在树状目录中,VPN -> AutoKey Advanced ->Gateway中,单击右边New按钮:
输入相应的Gateway Name为ateam_vpn ,Security Level选择为Custom ,Remote Gateway Type中选择Dialup User ,并选择用户名为刚才我们所建立的用户名。在Preshared Key中输入自己定义的密钥 netscreen,然后单击Advanced按钮:
Phase 1 Proposal选择为pre-g2-des-md5 ,Mode (Initiator)选择为Aggressive 。单击Returen返回上一页面,并单击OK退出。
3、VPN->Autokey IKE中,单击右边New按钮:
在VPN Name中输入相应的名称,Remote Gateway选择我们刚才建立的网关ateam_vpn ,单击Advanced按钮:
Phase 2 Proposal选择g2-esp-des-md5 ,并单击Return返回前一页面,并单击OK退出。
4、单击Policies ,在From 中选择Untrust ,在To 中选择Trust ,单击New按钮:
在Source Address中选择Address Book ,并从下拉菜单中选择Dial-Up VPN ,Destination Address中输入本公司内部地址段192.168.1.0 ,子网掩码为255.255.255.0 。Action选择为Tunnel ,Tunnel VPN选择我们建立的tr ,将Position at Top的复选框选中。单击OK按钮退出。
5、PC端的设置:将客户端VPN软件安装后,在任务栏右下角会有一个蓝色的图标,双击打开Security Policy Editor:
在MyConection上右键单击,依次Add->Connection ,新建立一个VPN连接,名称为test 。
6、单击名为test的VPN连接:
在Connection Security中选择Securite ,在Remote Party Identity and Addressing中,ID Type选择为IP Subnet ,Subnet中输入公司内部网络号192.168.1.0 ,Mask中输入255.255.255.0 。将Connet using Secure Gateway Tunnel选中,并在ID Type 中选择IP Address ,并输入Netscreen 的公网IP 61.152.219.14 。
7、单击My Identity ,进行设置:
在Select Certificate中选择None ,ID Type选择E-mail Address ,并输入ateam@ateam.com.cn 。然后单击Pre-Shared Key,并输入在Netscreen中Gateway中事先定义的密钥netscreen ,然后单击OK确认。
8、单击File->Save或者Save的图标,保存设置。
9、在屏幕右下方的Netscreen的小图标上右键单击,选择Reload Security Policy ,使刚才设置的VPN策略生效。
这时,如果你ping公司的内部IP地址的话,在Netscreen的小图标上会有黄色的小钥匙,并有绿色的小点在闪动,证明已经和内部IP建立起正常的VPN通信了。
如果你要把当前VPN的配制导出在另外的PC上使用,可以单击File->Export Security Policy ,
提示你是否要保护该策略不被修改,如果选择Yes的话,则生成的策略文件在重新导入到PC的时候不能被修改;如果选择No的话,是可以继续修改的。这里建议选择Yes ,以确保不被修改。
由于该客户端软件7.03版本本身不支持NAT穿透,所以对于Netscreen本身不具有公网IP地址,是通过NAT方式获得公网IP的话,就不能建立VPN通信。