NetScreen Firewall搭建点对站的IPSEC VPN(图解)
前言:感谢金诺网安的李朝辉先生、神州数码的许志科、华胜天成的朱季成、广州绿盟的工程师、老同事磁力帮助我完成这个实验。本文是以NETSCREEN NS-204做的实验,配置过ISG2000,发现有点不同,不过差不多,注意一下会发现差不多
拓扑:
搭建流程:
定义内网网段-》建立VPN用户-》配置VPN网关-》定义IKE-》添加“VPN”的策略-》配置VPN客户端
首先登陆NETSCREEN设备的WEB UI…
0)
定义内网网段
Objects > Addresses > List > New按钮
新建的这个对象是为建立“VPN策略”时用引用它作为目标地址,vpn_addr是这个对象的名字,IP/Netmask定义的是内网的地址网段,最后不用忘了定义Zone是Trust,点击OK建立。
1)
建立VPN用户
Objects > Users > Local > New按钮
新建一个用户,名为hygmcc,Status:Enable(定义该用户可用),使用IKE,定义IKE类型为Simple Identity/Auto,输入一个IKE身份定义值(这个值用于无帐号/密码的IPSEC连接的身份鉴别),我这里用的是一个EMAIL地址,点击OK。
*默认一个IPSEC隧道只支持一个帐号(当一个用户已经用此帐号登陆VPN后,若再有用户又用此帐号登陆,则前者会被自动踢出),如果要多个用户同时登陆的话需要建立多个帐号,然后通过Objects > User > Local Groups建立一个用户组,将你要用到的帐号都加入去(如本例中我的用户组就为hygmcc_group)。
2)
配置VPN网关
VPNs > AutoKey Advanced > Gateway > New按钮
新建一个名为1.0的VPN网关,Security Level选择Custom,Remote Gateway Type定义DialupUser Group--拨号用户组(因为我们上面选择的用户对象为一个名为hygmcc_group的用户组,若上面我们定义的只是一个帐号的话,则选择Dialup User),选择其对应值为我们在上面定义的hygmcc_group,在Preshared Key中定义这条IPSEC隧道的共享密钥,这个值必须是大于或等于8位的ASCII字符,最后记得定义Outgoing Interface选项的值为Untrust接口,然后点击Advanced按钮…
(红线部分是需要修改的)
Security Level选择Custom(与上一个页面对应),定义Phase 1 Proposal(第一阶段的参数),默认使用NetScreen-Remote(NetScreen提供的VPN客户端)使用的是pre-g2-3des-sha,为了方便我们就选择它吧,由于我们现在用的IKE,因此只能选择Aggressive(主动模式),在帐号认证的区域选择None(使用Xauth才需要帐号)。点击Return按钮回到上一页,然后再点击OK按钮。
3)
定义IKE
VPNs > AutoKey IKE > New按钮
新建一个名为hygmccvpn的IPSEC VPN隧道,Security Level为Custom,Remote Gateway(VPN的远程网关)定义为我们上面建立的VPN网关,点击Advanced按钮
(红线部分是需要修改的)
Security Level选择上一页中定义的Custom,定义Phase 2 Proposal(第二阶段的参数),默认使用NetScreen-Remote使用的是nopfs-esp-3des-sha,为了方便我们也选择它(3des是ESP值,sha是AH),其它什么都不用改,按Return按钮回到上一页,按OK。
4)
添加“VPN”的策略
Policies > 添加一条Untrust to Trust的策略
新建的策略的名字为hygmcc_vpn,Source Address选择Dial-Up VPN(这个是NetScreen自定义的),Destination Address为我们在第二步时定义的内网网段地址对象,Action选择Tunnel(隧道),在Tunnel-VPN中选择我们在第四步中定义的IKE对象(本例为hygmccvpn),最后激活Logging(用于在ScreenOS的系统日志中看到这个VPN策略的活动状态),点击OK,在NetScreen设备这端的配置过程完成。
5)
配置VPN客户端
首先安装NetScreen-Remote VPN客户端软件,安装完成后我们可以在WINDOWS桌面的最右下方发现它的图标(一个蓝色的Juniper图标),双击该图标将弹出一个配置对话框,选择菜单栏的Edit > Add > Connection,新建立一个VPN连接:
首先将该连接命名为hygmcc,Connection Security定义为Secure,并选定Only Connect Manually(只能手动建立连接,若不选定此项,则当NetScreen-Remote程序检测到有要使用到VPN连接的数据包出现时将自动建立VPN连接),Remote Party Identity and Addressing中的ID选择为IP Subnet,Subnet中输入我们在NetScreen设备上定义的内网网段的网络号,Mask中输入内网网段网络号对应的子网掩码,Protocol选择All,选择Connect using Secure Gateway Tunnel,这里的ID选择IP Address(IP地址),在下面的输入栏输入NetScreen设备Untrust口的IP地址。
然后打开该连接的内容,进入My Identity分页:
(红线部分是需要修改的)
首先点击Pre-Share Key按钮 > Enter Key按钮,在输入栏输入你在配置NetScreen设备的VPN网关时设定的IPSEC共享密钥,在ID处选定E-mail Address,在下面的输入栏输入你建立NetScreen设备中的VPN用户时设定的IKE身份定义值(IKE Identity)。
点击进入Security Policy分页:
(红线部分是需要修改的)
在Select Phase 1 Negotiation Mode中选择我们原来在NetScreen设备上选定的Aggressive Mode。
再打开Security Policy的内容,进入Security > Authentication (Phase 1) > Proposal 1分页:
(红线部分是需要修改的)
这里需要修改的就仅仅只是认证方法(Authenticaion)这个参数了,在这里我们选定Pre-Sared Key(另一个选择“Pre-Shared Key; Extended Authentication”用于IPSEC-Xauth)。
通过程序菜单栏的File > Save保存当前配置,然后回到WINDOWS桌面,用鼠标右键点击右下方的NetScreen-Remote图标,在弹出的菜单中选定Connect... > My Connections\hygmcc,此时系统将弹出一个提示VPN连接成功的对话框:
若事后要关闭该连接,可以通过选定该菜单中的Disconnect... > My Connections\hygmcc进行操作。
*小提示:
1)NetScreen Remote是支持将配置以‘脚本’的方式导出的,当存在新的VPN用户时只需要将原来的配置脚本导入,不修改又或者是简单修改一下就可以使用了,但如果你用ASCII编辑工具打开的话会发现其实它的内容是REG(注册表)文件。
2)本文所提到的IPSEC VPN作访问控制其实只是依赖IKE身份定义值(IKE Identity)与IPSEC共享密钥,也就是说当你要连入此VPN时,当Phase 1 Proposal与Phase 2 Proposal无误时(保证握手能正常进行),只要IKE Identity与IPSEC共享密钥匹配就能连入VPN,但若不匹配呢?实验得出的结果:若IPSEC共享密钥不匹配则无法连入VPN;若IKE身份定义值不匹配则能连入VPN,但在网络层以上无法进行通信(连PING也PING不通)。
附件: 您所在的用户组无法下载或查看附件
2001-2007 Comsenz Inc.
