Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx

Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx

《Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx》由会员分享，可在线阅读，更多相关《Juniper Netscreen防火墙共享IKE ID IKE+XAuth VPN配置案例.docx（14页珍藏版）》请在冰豆网上搜索。

JuniperNetscreen防火墙共享IKEIDIKE+XAuthVPN配置案例

按公司要求在外面mail必须要拨入VPN才能收取，同时要连到公司服务器也必须VPN。

但收取mail的人，不一定有权限能连接到citrix服务器。

所以就建立了3个组，一个只收取mail，一个只能登录citrix，一个可以2个同时登录。

同时为了便于帐号管理。

不能使用具有预共享密钥的“组IKEID”的方式来建立VPN。

1.这样建立帐号麻烦需要在cli下用：

execikepreshare-genvpn_gwlisa@

2.这样建立过后别人可以比较容易导出配置文件后，就有了VPN权限。

3.比如user1离职后，user1@的帐号没有办法删除，只能更改预共享种子密钥，这样显得比较麻烦，改了过后整个组都要改动。

4.无法查看现在已经存在的用户。

所以就使用共享IKEID方式来建立VPN，可以比上面方法“预共享密钥的组IKEID”多一步用户名密码验证。

一．防火墙上配置

1.建立组IKEID用户，并按要求分组。

1.1建立center_vpn_gIKE组，可以拨2个vpn。

mail和citrix

UserName:

center

Objects>>Users>>Local,new:

Status:

Enable

IKEUser:

（选择）

NumberofMultipleLoginswithsameID:

25（我们的防火墙最大只支持25user，就算写成50也会自己变成25的）

SimpleIdentity:

（选择）

IKEIdentity:

center@cent.sz

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入center_vpn_g，执行以下操作，然后单击OK:

选择center，并使用<< 按钮将其从AvailableMembers栏移动到GroupMembers栏中。

1.2建立mailer_vpn_gIKE组，可以拨入mail服务器的VPN

Objects>Users>>Local,new:

UserName:

mailer

Status:

Enable

IKEUser:

（选择）

NumberofMultipleLoginswithsameID:

25

SimpleIdentity:

（选择）

IKEIdentity:

mailer@cent.sz（这个不一定也要同上一个组的@cent.sz这里只是方便记忆）

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入mailer_vpn_g，执行以下操作，然后单击OK:

选择mailer，并使用<<按钮将其从AvailableMembers栏移动到GroupMembers栏中。

1.3建立citrixer_vpn_gIKE组，可以拨入citrix服务器

Objects>Users>>Local,new:

UserName:

citrixer

Status:

Enable

IKEUser:

（选择）

NumberofMultipleLoginswithsameID:

25

SimpleIdentity:

（选择）

IKEIdentity:

citrixer@cent.sz

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入citrixer_vpn_g，执行以下操作，然后单击OK:

选择mailer，并使用<< 按钮将其从AvailableMembers栏移动到GroupMembers栏中。

User：

列表

Name

Type

Group

Status

Identity

Configure

center

IKE

center_vpn_g

Enabled

center@cent.sz 

InUse

citrixer

IKE

citrixer_vpn_g

Enabled

citrixer@cent.sz 

InUse

mailer

IKE

mailer_vpn_g

Enabled

mailer@cent.sz 

InUse

Group：

列表：

GroupName

Grouptype

Members

Configure

center_vpn_g

ike

center

Edit

citrixer_vpn_g

ike

citrixer

Edit

mailer_vpn_g

ike

mailer

Edit

2.建立拨号用户并分组，当然也可以最后再来建立这些用户

2.1建立可以拨2个vpn的用户

Objects>Users>>Local,new:

UserName:

evan

Status:

Enable

XAuthUser（选择）,在后面输入密码xxxxxx

建立IKEID组

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入mail_citrix_gp，执行以下操作，然后单击OK:

选择evan，并使用<< 按钮将其从AvailableMembers栏移动到GroupMembers栏中。

要继续添加别的用户方法一样

2.2建立可以拨mail的vpn用户

Objects>Users>>Local,new:

UserName:

andy

Status:

Enable

XAuthUser（选择）,在后面输入密码xxxxxx

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入mail_gp，执行以下操作，然后单击OK:

选择andy，并使用<<按钮将其从AvailableMembers栏移动到GroupMembers栏中。

2.3建立可以拨citrix的vpn用户

Objects>Users>>Local,new:

UserName:

jack

Status:

Enable

XAuthUser（选择）,在后面输入密码xxxxxx

Objects>>UserGroups>>Local>>New:

在GroupName字段中键入citrix_gp，执行以下操作，然后单击OK:

选择jack，并使用<<按钮将其从AvailableMembers栏移动到GroupMembers栏中。

User：

列表

Name

Type

Group

Status

Identity

Configure

center

IKE

center_vpn_g

Enabled

center@cent.sz 

InUse

citrixer

IKE

citrixer_vpn_g

Enabled

citrixer@cent.sz 

InUse

jack

XAuth

citrix_gp

Enabled

- 

InUse

mailer

IKE

mailer_vpn_g

Enabled

mailer@cent.sz 

InUse

Andy

XAuth

mail_gp

Enabled

- 

InUse

evan

XAuth

mail_citrix_gp

Enabled

- 

InUse

Group：

列表

GroupName

Grouptype

Members

Configure

center_vpn_g

ike

center

Edit

citrix_gp

xauth

jack

Edit

citrixer_vpn_g

ike

citrixer

Edit

mail_citrix_gp

xauth

evan

Edit

mail_gp

xauth

andy

Edit

mailer_vpn_g

ike

mailer

Edit

3.建立vpn的Gateway

注意：

一旦VPN完全建立好后，就不要轻易改变GW里的设置，不然很可能导致VPN不可用。

我改了一个不重要的地方keepaliveFrequency值，保存后，又改回去结果VPN还是不可以用。

现象是remotevpnclient弹出输入用户名密码的时候是乱码。

开始以为是client软件出了问题，卸载后重新安装还是那样，而且别的电脑上也这样。

最后把有关的策略、VPN（Autokeyike）、Gateway删除重建才好，奇怪！

后来在网上找到VPNs->AutoKeyAdvanced->>Xauth->>AllowedAuthenticationType：

改为Generic,但os5.05.4都没有该设置。

在5GT5.4的XAuth（位置：

返回基本Gateway配置页，点XAuth）里的确要选为Generic。

在25B5.0里没有的选，而且默认还是chap打勾的。

平时查看配置后，也尽量别点return，而点cancel。

3.1建立能同时拨mail、citrix的VPN的GW

VPNs>>AutoKeyAdvanced>>Gateway>>New:

输入以下内容，然后单击OK:

GatewayName:

center_gw

SecurityLevel:

Compatible（选择）

RemoteGatewayType:

DialupGroup（选择）,center_vpn_g

PresharedKey:

abcd1234（必须要8位及以上，因为netscreenremoteclient要求必须8位以上。

）

OutgoingInterface:

ethernet3（这个选择你网络的外网接口）

>>Advanced:

输入以下内容，然后单击Return，返回基本Gateway配置页:

EnableNAT-Traversal（选择）

UDPChecksum（选择）

EnableXAuth:

（选择）/有的版本是XAuthServer（5GT的位置不在这里，而是先返回基本Gateway配置页，点XAuth）

LocalAuthentication:

（选择）

UserGroup:

（选择）mail_citrix_gp

3.2建立拨mail的VPN的GW

VPNs>>AutoKeyAdvanced>>Gateway>>New:

输入以下内容，然后单击OK:

GatewayName:

mailer_gw

SecurityLevel:

Compatible（选择）

RemoteGatewayType:

DialupGroup（选择）,mailer_vpn_g

PresharedKey:

abcd1234（这里可以设置和上面的一样，主要是方便自己维护，为了安全最好设置成不一样的）

OutgoingInterface:

ethernet3（这个选择你网络的外网接口）

>>Advanced:

输入以下内容，然后单击Return，返回基本Gateway配置页:

EnableNAT-Traversal（选择）

UDPChecksum（选择）

EnableXAuth:

（选择）/有的版本是XAuthServer

LocalAuthentication:

（选择）

UserGroup:

（选择）mail_gp

3.3建立拨citrix的VPN的GW

VPNs>>AutoKeyAdvanced>>Gateway>>New:

输入以下内容，然后单击OK:

GatewayName:

citrixer_gw

SecurityLevel:

Compatible（选择）

RemoteGatewayType:

DialupGroup（选择）,citrixer_vpn_g

PresharedKey:

abcd1234

OutgoingInterface:

ethernet3（这个选择你网络的外网接口）

>>Advanced:

输入以下内容，然后单击Return，返回基本Gateway配置页:

EnableNAT-Traversal（选择）

UDPChecksum（选择）

EnableXAuth:

（选择）/有的版本是XAuthServer

LocalAuthentication:

（选择）

UserGroup:

（选择）citrix_gp

Gateway列表：

Name

Type

Address/ID/UserGroup

LocalID

SecurityLevel

Configure

center_gw

Dialup

center_vpn_g

-

Compatible

Edit

-

citrix_gw

Dialup

citrixer_vpn_g

-

Compatible

Edit

-

mail_gw

Dialup

mailer_vpn_g

-

Compatible

Edit

-

4.建立VPN连接

4.1建立可以mail、citrix的VPN

VPNs>>AutoKeyIKE>>New:

输入以下内容，然后单击OK:

VPNName:

center_vpn

SecurityLevel:

Compatible

RemoteGateway:

Predefined:

（选择）center_gw

>>Advanced:

输入以下高级设置，然后单击Return，返回基本AutoKeyIKE配置页:

Bindto:

TunnelZone,Untrust-Tun

4.2建立可以到mail的VPN

VPNs>>AutoKeyIKE>>New:

输入以下内容，然后单击OK:

VPNName:

mailer_vpn

SecurityLevel:

Compatible

RemoteGateway:

Predefined:

（选择）mail_gw

>>Advanced:

输入以下高级设置，然后单击Return，返回基本AutoKeyIKE配置页:

Bindto:

TunnelZone,Untrust-Tun

4.3建立可以到citrix的VPN

VPNs>>AutoKeyIKE>>New:

输入以下内容，然后单击OK:

VPNName:

citrixer_vpn

SecurityLevel:

Compatible

RemoteGateway:

Predefined:

（选择）citrix_gw

>>Advanced:

输入以下高级设置，然后单击Return，返回基本AutoKeyIKE配置页:

Bindto:

TunnelZone,Untrust-Tun

VPN列表：

Name

Gateway

Security

Monitor

Configure

center_vpn

center_gw

Compatible

Off

Edit

-

citrixer_vpn

citrix_gw

Compatible

Off

Edit

-

mailer_vpn

mail_gw

Compatible

Off

Edit

5.建立相关Policies

5.1建立center_vpn的policies（2条，一条到mail，一条到citrix。

就算mail和citrix都在同一个zone也不能选择Multiple而加入2个地址）

5.1.1建立到mail的

Policies>>（From:

Untrust,To:

DMZ）New:

输入以下内容，然后单击OK:

SourceAddress:

AddressBookEntry:

（选择）,Dial-UpVPN

DestinationAddress:

AddressBookEntry:

（选择）,192.168.25.7/32

Service:

Multiple（MAIL,POP3,PING）

Action:

Tunnel

TunnelVPN:

center_vpn

ModifymatchingbidirectionalVPNpolicy:

（清除）

PositionatTop:

（选择）

5.1.2建立到citrix的

Policies>>（From:

Untrust,To:

Trust）New:

输入以下内容，然后单击OK:

SourceAddress:

AddressBookEntry:

（选择）,Dial-UpVPN

DestinationAddress:

AddressBookEntry:

（选择）,10.10.25.2/32

Service:

Multiple（CITRIX,HTTP,PING）

Action:

Tunnel

TunnelVPN:

center_vpn

ModifymatchingbidirectionalVPNpolicy:

（清除）

PositionatTop:

（选择）

5.2建立mailer_vpn的policy（只让到mail）

Policies>>（From:

Untrust,To:

DMZ）New:

输入以下内容，然后单击OK:

SourceAddress:

AddressBookEntry:

（选择）,Dial-UpVPN

DestinationAddress:

AddressBookEntry:

（选择）,192.168.25.7/32

Service:

Multiple（MAIL,POP3,PING）

Action:

Tunnel

TunnelVPN:

mailer_vpn

ModifymatchingbidirectionalVPNpolicy:

（清除）

PositionatTop:

（选择）

5.3建立citrixer_vpn的policy（只让到citrix）

Policies>>（From:

Untrust,To:

Trust）New:

输入以下内容，然后单击OK:

SourceAddress:

AddressBookEntry:

（选择）,Dial-UpVPN

DestinationAddress:

AddressBookEntry:

（选择）,10.10.25.2/32

Service:

Multiple（CITRIX,HTTP,PING）

Action:

Tunnel

TunnelVPN:

citrixer_vpn

ModifymatchingbidirectionalVPNpolicy:

（清除）

PositionatTop:

（选择）

至此防火墙上配置全部完成。

Vpn,gw,ikeid等的对应关系

Name

Gateway

IKEIDgroup

IKEID

XAuthgroup

center_vpn

center_gw

center_vpn_g

center@cent.sz 

mail_citrix_gp

citrixer_vpn

citrix_gw

citrixer_vpn_g

citrixer@cent.sz 

Citrix_gp

mailer_vpn

mail_gw

mailer_vpn_g

mailer@cent.sz

mail_gp

二．NetScreenRemoteVPNclient配置

1.单击Options>>Secure>>SpecifiedConnections。

2.单击Addanewconnection，在出现的新连接图标旁键入tomailserver。

3.配置连接选项:

ConnectionSecurity:

Secure

RemotePartyIDType:

IPAddress

IPAddress:

192.168.25.7

ConnectusingSecureGatewayTunnel:

（选择）

IDType:

IPAddress;218.xxx.xxx.xxx

可以看情况是否勾选onlyconnectmanually，这个的主要作用是当回到公司如果忘了禁用本软件，它也不会改变路由表。

但如果连接超时后，就必须手动在输入用户名密码重新连接。

4.单击位于web1图标左边的加号，展开连接策略。

5.单击Se