资源描述
本文描述了以juniper 防火墙为核心的 HUB 结构的VPN连接方式配置图解,核心为 Juniper 防火墙配置固定外部IP地址,分支为juniper防火墙、vigor路由器、Fortigate防火墙,分支均为ADSL访问互联网。分支静态接入互联网配置方式相同。
文档结尾附有核心端vpn的命令行配置方法。
核心端配置指导
对于 Ns25 分支
第一步:建立tunnel
Network > Interfaces (List)
Tunnel 的名字 自定义。
Zone (VR) 选择用于VPN连接的外网zone名,“用于VPN连接的接口zone名(trust-vr)”
Interface 选择 “用于VPN连接的外网接口”
第二步:建立VPNs > AutoKey Advanced > Gateway
Gateway name 自定义
选择 Compatible
选择 Dynamic IP address
Peer ID 自定义 (必须与分支相同)
Preshared key 自定义
点击“Advanced”按照如下填写即可。
第三步: 建立VPNs > AutoKey IKE
Vpn Name 自定义
选择 compatible
Remote Gateway选择 “Predefined”选择刚才建立的Gateway name其他默认
点击“Advanced”
Security Level 按照默认填写
Bind to 选择“Tunnel Interface” 选择 刚才建立的tunnel name
Local IP / Netmask 选择 本地被访问的资源网段
Remote IP / Netmask 选择 远端VPN用户网段
其他选项按照图示填写即可。
第四步: 建立路由 Network > Routing > Routing Entries
Network Address / Netmask 填写 远程VPN用户网段
选择 “Gateway”
在 Interface 中选择 上面刚建立过的tunnel name
对于 vigor
第一步:建立tunnel
Network > Interfaces (List)
Tunnel 的名字 自定义。
Zone (VR) 选择用于VPN连接的外网zone名,“用于VPN连接的接口zone名(trust-vr)”
Interface 选择 “用于VPN连接的外网接口”
第二步:建立VPNs > AutoKey Advanced > Gateway
Gateway name 自定义
选择 Custom
选择 Dynamic IP address
Peer ID 自定义 (必须与分支端相同)
Preshared key 自定义
点击“Advanced”按照如下填写即可。
第三步: 建立VPNs > AutoKey IKE
Vpn Name 自定义
选择 Custom
Remote Gateway 选择 “Predefined” 选择刚才建立的Gateway name
其他默认
点击“Advanced”
Security Level 按照默认填写
Bind to 选择“Tunnel Interface” 选择 刚才建立的tunnel name
Local IP / Netmask 选择 本地被访问的资源网段
Remote IP / Netmask 选择 远端VPN用户网段
其他选项按照图示填写即可。
第四步: 建立路由 Network > Routing > Routing Entries
Network Address / Netmask 填写 远程VPN用户网段
选择 “Gateway”
在 Interface 中选择 上面刚建立过的tunnel name
对于 Fortigate
第一步:建立tunnel
Network > Interfaces (List)
Tunnel 的名字 自定义。
Zone (VR) 选择用于VPN连接的外网zone名,“用于VPN连接的接口zone名(trust-vr)”
Interface 选择 “用于VPN连接的外网接口”
第二步:建立VPNs > AutoKey Advanced > Gateway
Gateway name 自定义
选择 Custom
选择 Dynamic IP address
Peer ID 自定义
Preshared key 自定义
点击“Advanced”按照如下填写即可。
第三步: 建立VPNs > AutoKey IKE
Vpn Name 自定义
选择 Custom
Remote Gateway 选择 “Predefined” 选择刚才建立的Gateway name
其他默认
点击“Advanced”
Security Level 按照默认填写
Bind to 选择“Tunnel Interface” 选择 刚才建立的tunnel name
Local IP / Netmask 选择 本地被访问的资源网段
Remote IP / Netmask 选择 远端VPN用户网段
其他选项按照图示填写即可。
第四步: 建立路由 Network > Routing > Routing Entries
Network Address / Netmask 填写 远程VPN用户网段
选择 “Gateway”
在 Interface 中选择 上面刚建立过的tunnel name
VPN 客户端配置
对于vigor
使用http登陆vigor管理地址 (出厂默认地址192.168.1.1)
点击“VPN and Remote Access Setup”
点击“Lan-to-Lan Profile Setup”
点击“1”新建VPN连接
Profile Name 自定义(必须与核心端名字对应上)
IKE Pre-Shared Key 中填写与核心端相同的参数
Server IP 一栏中填入 核心端防火墙的外网地址
点击“Advance”其中的Local ID 填写与核心端对应的VPN相同的参数
其他参数都按照图中默认填写
其他参数都按照图中默认填写
对于Netscreen
第一步:建立tunnel
Network > Interfaces (List)
Tunnel 的名字 自定义。
Zone (VR) 选择用于VPN连接的外网zone名,“用于VPN连接外网的接口zone名(trust-vr)”
Interface 选择 “用于VPN连接的外网接口”
第二步:建立VPNs > AutoKey Advanced > Gateway
Gateway name 自定义
选择 Compatible
选择 Static IP Address
IP Address/Hostname 选择核心VPN节点的ip地址
Preshared key 自定义
Local ID 必须与核心端
点击“Advanced”按照如下填写即可。
第三步: 建立VPNs > AutoKey IKE
Vpn Name 自定义
选择 Compatible
Remote Gateway 选择 “Predefined” 选择刚才建立的Gateway name
其他默认
点击“Advanced”
Security Level 按照默认填写
Bind to 选择“Tunnel Interface” 选择 刚才建立的tunnel name
Local IP / Netmask 选择 本地被访问的资源网段
Remote IP / Netmask 选择 远端VPN用户网段
其他选项按照图示填写即可。
第四步: 建立路由 Network > Routing > Routing Entries
Network Address / Netmask 填写 远程VPN用户网段
选择 “Gateway”
在 Interface 中选择 上面刚建立过的tunnel name
Fortigate 分支配置
建立一个地址对象,对象地址段为远端用户地址段,接口选择上面建立的第一阶段vpn gw的名称。
建立“第一阶段vpn gw的名称”与外部网络接口间的双向策略。
建立指向远程网段路由,下一条指向“第一阶段vpn gw的名称”接口。
Juniper 防火墙vpn 命令行配置方法
创建隧道接口
set interface "tunnel.91" zone "outside"
set interface tunnel.91 ip unnumbered interface ethernet0/2
set interface tunnel.91 mtu 1500
创建VPN gataway
1、对于netscreen 客户端
set ike gateway "gw91" address 0.0.0.0 id "vpn91@" Aggr outgoing-interface "ethernet0/2" preshare "12345678" sec-level compatible
set ike gateway "gw91" nat-traversal udp-checksum
set ike gateway "gw91" nat-traversal keepalive-frequency 5
2、对于vigor 客户端
set ike gateway "gw91" address 0.0.0.0 id "vpn91@" Aggr outgoing-interface "ethernet0/2" preshare "12345678" proposal "pre-g1-des-md5"
set ike gateway "gw91" nat-traversal udp-checksum
set ike gateway "gw91" nat-traversal keepalive-frequency 5
3、对于fortigate
set ike gateway "gw91" address 0.0.0.0 id "vpn91" Aggr outgoing-interface "ethernet0/2" preshare "12345678" proposal "pre-g2-3des-md5" "pre-g2-des-sha"
set ike gateway "gw91" nat-traversal udp-checksum
set ike gateway "gw91" nat-traversal keepalive-frequency 5
创建AutoKey
1、对于netscreen 客户端
set vpn "vpn91" gateway "gw91" no-replay tunnel idletime 0 sec-level compatible
set vpn "vpn91" monitor rekey
set vpn "vpn91" bind interface tunnel.91
set vpn "vpn91" proxy-id local-ip 192.168.0.0/16 remote-ip 192.168.91.0/24 "ANY"
2、对于vigor 客户端
set vpn "vpn91" gateway "gw91" no-replay tunnel idletime 0 proposal "nopfs-esp-des-md5"
set vpn "vpn91" monitor
set vpn "vpn91" bind interface tunnel.91
set vpn "vpn91" proxy-id local-ip 192.168.0.0/16 remote-ip 192.168.91.0/24 "ANY"
3、对于fortigate
set vpn "vpn91" gateway "gw91" no-replay tunnel idletime 0 proposal "g2-esp-3des-md5" "g2-esp-3des-sha"
set vpn "vpn91" monitor rekey
set vpn "vpn91" bind interface tunnel.91
set vpn "vpn91" proxy-id local-ip 172.16.3.0/24 remote-ip 192.168.91.0/24 "ANY"
创建vpn路由
set route 192.168.91.0/24 interface tunnel.91
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
