首先设置一台防火墙有固定的IP地址,许可其他客户端(可变化获得的IP地址)来通过VPN安全通道访问防火墙后面的内部网络。在防火墙上先定义好一些VPN Dialup user用户。有三种类型的访问方式:⑴手工生成钥匙通道,⑵自动生成钥匙IKE通道(预共享密钥或认证)⑶动态点到内网VPN访问,自动生成钥匙IKE通道(预共享密钥或认证)。
举例子如下
===========
1. 基于策略的手工生成钥匙通道,拨到内网的VPN访问:
该VPN通道采用3DES数据加密和SHA-1的认证。顺序是-->网络接口-->对象地址-->对象用户(Manual Key)---**利用敲入的密码会生成16进制的串,这些串将被拷贝到Netscreen Remote客户端软件中用来配置好这个VPN通道使之可以使用。-->网络路由,路由表,Trust-vr接口生成新的条目—地址是0.0.0.0/0,网关选择到Untrust口,IP地址为Untrust接口IP地址的后一个地址(如果Untrust口地址是通过PPPoE自动获得的,可先查看并记录下),-->策略,从不可信口到可信口方向,新建一条策略,源地址为Dialup VPN
2. 基于策略的自动生成IKE,拨到内网的VPN访问:
(实验环境:NS5XP防火墙软件版本4.0.R6,NSRemote 5.1.3)。在防火墙上设置:在对象用户组中建立一个本地用户(wang),类型为IKE,用Email地址(例如 wang@51cto.com)作为简单标识该用户;在VPN的AUTOKEY高级栏的GATEWAY中,新建一个‘从用户名到NSRemote’的网关,其安全LEVEL为自定义,Remote Gateway 的类型为拨号用户wang;敲入预共享的密码(字符串大于8个),然后在高级选项中配置(安全LEVEL为CUSTOM,Phase 1 Proposal为pre-g2-3des-sha,模式为Aggressive);最后创建一条从UNTRUST到TRUST口的访问策略,允许从外部拨号到内部网络的指定机器,选上Position at top。 在NS Remote软件上,主要设好:UNTRUST口地址;标识Email地址;模式为Aggressive;预共享密码和防火墙端一样;认证中3des-sha1-g2;交换KEY中新建3中另外可能的组合(在DES,3DES,SHA,MD5之间组合)
1. set interface ethernet1 zone trust
2. set interface ethernet1 ip 172.30.5.1/24
3. set interface ethernet3 zone untrust
4. set interface ethernet3 ip 203.10.20.1/24
5. set address trust unix 172.30.5.6/32
6. set user wendy ike-id u-fqdn wparker@email.com
7. Preshared Key:
set ike gateway wendy-nsr dialup wendy aggressive outgoing-interface ethernet3 preshare h1p8a24ng proposal pre-g2-3des-sha
set vpn wendy_unix gateway wendy_nsr sec-level compatible
(or)
Certificates:
set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha-1
set ike gateway wendy_nsr cert peer-ca 1
set ike gateway wendy_nsr cert peer-cert-type x509-sig
set vpn wendy_unix gateway wendy_nsr sec-level compatible
8. set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 203.10.20.2
9. set policy top from untrust to trust “Dial-Up VPN” unix any tunnel vpn wendy_unix
10. save
3. NetScreen Remote软件端的设置:
1. Option>secure>specified Connections
2. Add a new connection, Type Unix next to the new connection icon appears
3. Configure the connection options:
connection security:secure
Remote part ID type: IP address
IP address: 172.30.5.6
Connect using secure Gateway Tunnel: (select)
ID type : IP address; xxx.10.20.1 // 防火墙上的UNTRUST口的地址
4. 点开+号,展开策略内容:
在 My Identity中 填入preshare Key为 h1p8a24ng 并在ID type 选Email Address 写上 wparker@email.com 或者 在certificate 下拉列表中 选 一个证书 ID type类型为 E-mail Address
5. 到security policy图标,选 Aggressive Mode
6. 点开 Authentication (phase 1)>proposal 1 并选择Triple DES 和 SHA-1 和 Diffie-Hellman Group 2
7. 点开 Key exchange(phase 2) > proposal 1 选择以下的IPSec协议:选中ESP后 Triple DES 和 SHA-1 和Tunnel 封装;再新建立3种另外组合,
8. 点击 save
设置完毕后就可以从拨号端访问内网了。
