NetScreen SSG5 L2TP VPN 客户端拨号配置笔记

2012-05-20    分类:知识库    2人评论877 views

最近在捣鼓公司的Juniper NetScreen SSG5,因此最近出现了一系列的关于Juniper NetScreen SSG5的文章,如Juniper NetScreen SSG5 恢复出厂设置、Juniper NetScreen SSG5 设置为透明模式

一共有2台SSG5,一台被集成商作为网关部署在了浦东(既然这样还要路由器干什么),而另一台暂时没有使用(因为浦西网络双出口,他们就不知道怎么处理防火墙了……囧)。

因为浦东的录音工控机有个怪毛病,不能直接重启,必须关机再启动,否则PCI录音卡会无法识别。那么只能尽可能不重启,但是总有打个补丁或者其他情况需要重启的,每次人工开启就太麻烦了。于是就用上了Wake on LAN(WOL 网络唤醒)这项技术。基础知识就不普及了,有兴趣的百度百科吧。关于如何利用Wake on LAN 远程唤醒服务器就另外介绍了。

那么要进入这个LAN,就只能用VPN了,浦西的Cisco RV042自带PPTP服务,非常方便。而Juniper的设置就相对复杂了,不过复杂的定制性就很高了。网上参考率许多NetScreen SSG5配置L2TP VPN的文章,基本上大同小异,下面引用一下常规的配置方法:

1、创建一个拨号VPN客户端地址段:
CLI命令为dial-up-vpn-addr ip段:192.168.24.0/24 zone:trust
WebUI配置如图:

2、创建一个IP地址池
命名ip pool:vpn-ip-pool 从192.168.24.20.20到192.168.24.40
3、创建一个test1用户,选择L2TP User,并添加user password,并关联IP地址池(vpn-ip-pool)
4、创建一个L2TP-vpn用户组,并把available members下面test1账号添加到左边group members
5、修改L2TP隧道的默认设置,关联IP地址池(vpn-ip-pool),选择chap的ppp认证及添加DNS

6、在tunnel页面选择dialup group并以刚创建的L2TP-vpn作为拨号组,并选择外网端口Ethernet0/0,并关联IP地址池(vpn-ip-pool),Tunnel的name为YS_VPN,由于截图没把name截出来
7、创建一条策略from untrust to trust,源地址为Dial-Up VPN,由于拨号进来不只要访问本地网络还有公司网络,所以目的地址:ANY  并在Action修改为:tunnel,L2TP:YS_VPN,然后,在logging 与at session beginning打 √

以上配置部分内容引用自搭建Netscreen SSG5基于L2TP协议拨号平台

其实步骤也不多,一共7步(现在熟练了感觉还是很好理解的,一开始摸索的时候相信大家也都是云里雾里的)。

好了,现在可以用Windows自带VPN拨号连接了。看到一些介绍说还需要改一下注册表,不过我是Win7 x64的倒是直接就连了上去。

注册表文件内容如下,保存为.reg文件执行即可。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
 72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"Medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00
"CustomDLL"=hex(7):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
 20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4d,00,53,00,4e,00,5c,00,4d,00,53,\
 00,4e,00,43,00,6f,00,72,00,65,00,46,00,69,00,6c,00,65,00,73,00,5c,00,63,00,\
 75,00,73,00,74,00,64,00,69,00,61,00,6c,00,2e,00,64,00,6c,00,6c,00,00,00,00,\
 00
"ServiceDllUnloadOnStop"=dword:00000001
"AllowL2TPWeakCrypto"=dword:00000000
"AllowPPTPWeakCrypto"=dword:00000000
"KeepRasConnections"=dword:00000000
"ProhibitIpSec"=dword:00000001
"AllocatedLuids"=hex:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\Quarantine]
"AutoRefreshEnabled"=dword:00000000
"AutoRefreshTimeout"=dword:01808580
"Enabled"=dword:00000001
"WorkItemTimeout"=dword:00000bb8

接着在设置vpn属性–安全—高级—设置

VPN类型手动选一下L2TP,自动识别很慢而且可能会失败。

数据加密:可选加密或者加密

质询握手身份验证协议(CHAP):打勾

 

配置完成后,遇到NetScreen SSG5 L2TP VPN 可获取IP但无法访问其他资源的问题,不过顺利解决了。

 

转载请注明:摩登坊 » NetScreen SSG5 L2TP VPN 客户端拨号配置笔记

继续查看有关 的文章

2访客评论

  1. 你好,我按照你的配置以后,出现Rejected an IKE packet on ethernet0/1 from 222.*.*.50:500 to 116.*.*:500 with cookies 8fb883fa61b61a31 and 0000000000000000 because an initial Phase 1 packet arrived from an unrecognized peer gateway.
    不知道什么原因

    widia06-06 09:48
  2. 你好能加一下qq吗110865220

    aaa06-20 12:32

我来说说

*

*

取消