NetScreen防火墙VPN配置简明手册
Netscreen防火墙上建立VPN一般有两种:一是Site到Site的VPN ,就是两个LAN之间建立的VPN 。一种是客户端PC访问公司内部的VPN ,就是PC到Site的方式。这里我们以唯冠公司的例子来说明具体配置方法。
一 。Site到Site的VPN:
唯冠公司在沙头角的总部和京广大厦之间欲通过VPN方式连接。其中总部使用NetScreen204防火墙,公网IP地址为通过LinkProof设备NAT获得的218.17.228.39;而京广大厦使用SonicWall防火墙,具有公网IP为61.144.203.20
我们先在netscreen上设定:1、建立第一阶段的数据加密方式及数据完整检验的算法。在netscreen左边树状目录中选择VPN AutoKey Advanced P1 Proposal ,单击右边的New按钮,建立自定义的数据加密方式及完整检验算法。如图:
输入名称为to_sonicwall ,选择Authentication Method方式为Preshare ,DH Group 选择为Group1 ,Encryption Algorithm选择为DES-CBC ,Hash Algorithm选择为MD5 ,Lifetime选择为28800秒。然后单击OK退出。
2、建立第二阶段的数据加密及数据完整检验方式:在netscreen左边树状目录中选择VPN AutoKey Advanced P2 Proposal ,单击右边的New按钮,建立自定义的数据加密方式及完整检验算法。如图:
输入名称为2sonicwall ,Perfect Forward Secrecy选择DH-Group1,在下面的Encapsulation中选择Encryption (ESP),并选择加密算法为3DES-CBC方式,Authentication Algorithm选择为MD5 ,Lifetime选择为28800秒。然后单击OK退出。
3、建立远程的网关:在树状目录中,VPN AutoKey Advanced Gateway中,单击右边New按钮,如图
输入网关名称为sonicwall ,Security Level选择为Custom ,Remote Gateway Type选择为Static IP Address并输入对方sonicwall的公网IP地址 61.144.203.20 ,在下面的Preshared Key输入自己定义的密钥,这里我们统一为netscreen ,然后单击Advanced按钮,如图
在Phase 1 Proposal中我们选择刚才建立的to_sonicwall ,Mode (Initiator)选择为Main (ID Protection) ,然后单击Return 返回前一页面,并单击OK退出。
4、建立第二阶段的IKE :VPN AutoKey IKE ,单击右边New按钮,如图:
输入VPN的名称,Security Level选择为Custom,Remote Gateway选择为Predefined ,并选择为刚才我们建立的sonicwall网关。单击Advanced 按钮,如图:
Phase 2 Proposal选择为我们刚才建立2sonicwall ,然后单击Return返回前一页面,并单击OK退出。
5、单击左边的Policies ,选择From中的Trust ,以及To中的Untrust ,并单击New按钮,如图
Source Address在New Address中输入netscreen后的网络地址10.1.1.0 ,子网掩码为255.255.255.0 。Destination Address中输入京广中心的内部网络号172.16.80.0 ,子网掩码为255.255.255.0。在Action中选择Tunnel ,Tunnel VPN选择为我们建立的to sonic ,并将Modify matching bidirectional VPN policy和Position at Top的两个复选框选中。单击OK按钮退出。
然后在Sonicwall上进行设置:
6、在Sonicwall上,我们依次VPN SettingsVPN PoliciesAdd ,如图
我们按照图中内容填写,并单击Proposals标签页,如图:
我们按照图中内容填写,然后单击Advanced标签页,如图:
按照图中内容后,单击OK退出。
这样我们在netscreen的后面IP地址为10.1.1.1的PC上ping京广中心内部的地址172.16.80.1地址,可以ping通,说明Netscreen和Sonicewall防火墙之间的VPN已经建立起来了。
二 。PC到Site的VPN:
如果一台PC在公司外面通过拨号上网获得公网IP地址,通过VPN client的软件来和公司内部建立VPN连接的,必须要有client软件来配合,假设netscreen后的公司内部地址为192.168.1.0网段。
1、建立用户:在树状目录中,Objects UsersLocal ,单击右边New按钮,如图:
输入User Name ,Status 选择为Enable ,将IKE User的复选框选中,并选择Simple Identity ,在IKE Identity 中输入字符串
ateam@ateam.com.cn 。单击OK后退出。
2、建立远程的网关:在树状目录中,VPN AutoKey Advanced Gateway中,单击右边New按钮,如图
输入相应的Gateway Name为ateam_vpn ,Security Level选择为Custom ,Remote Gateway Type中选择Dialup User ,并选择用户名为刚才我们所建立的用户名。在Preshared Key中输入自己定义的密钥 netscreen,然后单击Advanced按钮,如图
Phase 1 Proposal选择为pre-g2-des-md5 ,Mode (Initiator)选择为Aggressive 。单击Returen返回上一页面,并单击OK退出。
3、VPNAutokey IKE中,单击右边New按钮,如图
在VPN Name中输入相应的名称,Remote Gateway选择我们刚才建立的网关ateam_vpn ,单击Advanced按钮,如图:
Phase 2 Proposal选择g2-esp-des-md5 ,并单击Return返回前一页面,并单击OK退出。
4、单击Policies ,在From 中选择Untrust ,在To 中选择Trust ,单击New按钮,如图:
在Source Address中选择Address Book ,并从下拉菜单中选择Dial-Up VPN ,Destination Address中输入本公司内部地址段192.168.1.0 ,子网掩码为255.255.255.0 。Action选择为Tunnel ,Tunnel VPN选择我们建立的tr ,将Position at Top的复选框选中。单击OK按钮退出。
5、PC端的设置:将客户端VPN软件安装后,在任务栏右下角会有一个蓝色的图标,双击打开Security Policy Editor ,如图:
在MyConection上右键单击,依次AddConnection ,新建立一个VPN连接,名称为test 。
6、单击名为test的VPN连接,如图:
在Connection Security中选择Securite ,在Remote Party Identity and Addressing中,ID Type选择为IP Subnet ,Subnet中输入公司内部网络号192.168.1.0 ,Mask中输入255.255.255.0 。将Connet using Secure Gateway Tunnel选中,并在ID Type 中选择IP Address ,并输入Netscreen 的公网IP 61.152.219.14 。
7、单击Security Policy ,按照下图进行设置
8、单击My Identity ,按照下图进行设置:
在Select Certificate中选择None ,ID Type选择E-mail Address ,并输入
ateam@ateam.com.cn 。然后单击Pre-Shared Key ,如图
并输入在Netscreen中Gateway中事先定义的密钥netscreen ,然后单击OK确认。
9、单击Security Policy 前面的+ ,依次展开Security PolicyAuthentication (Phase 1)Proposal1 ,进行如图的配置。
10、展开Key Exchange(Phase2)Proposal1 ,进行如图的设置:
11、单击FileSave或者Save的图标,保存设置。
12、在屏幕右下方的Netscreen的小图标上右键单击,选择Reload Security Policy ,使刚才设置的VPN策略生效。
这时,如果你ping公司的内部IP地址的话,在Netscreen的小图标上会有黄色的小钥匙,并有绿色的小点在闪动,证明已经和内部IP建立起正常的VPN通信了。
如果你要把当前VPN的配制导出在另外的PC上使用,可以单击FileExport Security Policy ,
提示你是否要保护该策略不被修改,如果选择Yes的话,则生成的策略文件在重新导入到PC的时候不能被修改;如果选择No的话,是可以继续修改的。这里建议选择Yes ,以确保不被修改。
由于该客户端软件7.03版本本身不支持NAT穿透,所以对于Netscreen本身不具有公网IP地址,是通过NAT方式获得公网IP的话,就不能建立VPN通信。唯冠公司沙头角总部的Netscreen就是通过NAT的方式来获得公网IP的,这里是以别的公司VPN建制为例子来说明的。
2001-2007 Comsenz Inc.
