Juniper SSG20-SH防火墙实现拨号远程L2TP IPSEC Xauth VPN.docVIP

Juniper SSG20-SH防火墙实现拨号远程L2TP VPN 一、 环境介绍1、 防火墙* juniper SSG20-SH* Hardware Version：710(0)* Firmware Version：6.1.0r2.0(Firewall + VPN)* Juniper后面的已经在用的内网网段是10.103.X.X/162、 线路：* ADSL专线(带公网固定IP)，双线接入，但只选择其中一路作为VPN接入3、 客户端* windows自带VPN拨号客户端* 本地路由共享上网* 内网网段是192.168.1.X二、 需求实现1、 使用windows自带VPN客户端从外网拨号L2TP VPN进入juniper内网2、 获得分配地址段是1－0三、 防火墙设置1、 建立内网分配网段* 登录SSG20，进入Objects - IP Pools - New，输入VPN拨号进入后可获分配的内网网址段。* 这里需要注意，这个可分配网段不能和防火墙内网已经在用网段10.103.X.X/16在同一网段。如果设为10.103.×.×的话，即使连通，可以获得内网IP并且可以ping通防火墙内网网关，也是无法访问内网的。因此，选择从1－0，名称为L2TPip，OK。?2、 建立VPN用户。* Objects - Users - Local - New，在User Name中输入L2TPVPN1* Status选择Enable，Number of Multiple Logins with Same ID如果选择1，则每次只能登录1个用户* 选择L2TP User，输入两次密码* 在IP Pool中选择第一步中来新建的内网分配网段L2TPip，按OK3、 修改L2TP的默认设置* VPNs - L2TP-Default Settings，输入IP POOL名称和ISP给予的DNS * VPNs - L2TP- Tunnel，输入名称L2TP1，勾选Use Custom Settings，因为只是单个用户，选择Dialup User(选择前面建立的用户L2TPVPN1)，选择防火墙外网的接口outgoing interface，选择IP POOL4、 最后是建立一个VPN策略。* 进入policy-Policies页面，建立一条Untrust到Trust的策略，选择左上from Untrust，右上to trust，点击go，然后点击new* Source Address=Address Book Entry=Dial-up VPN，Destination Address=Address Book Entry=any* Action=Tunnel，Tunnel=L2TP=L2TP1（第三步中建立的L2TP tunnel名称）5、 备注：* Objects Users Local——处于“In Use”状态时，如果要删除用户或用户组，必须要想办法在Policies等处将该用户或用户组的相应策略、设置删除才能删除* 此处介绍的是单用户方法，如果用户需要使用2个以上用户，必须在建立用户后，马上到Local Groups上将几个用户划入用户组中(否则建立策略和其它设置后用户不能使用也不能删除) * 如果需要在第二条ADSL宽带线路上也建立VPN，则在第3步建立L2TP的tunnel时，将Outgoing Interface改成另外线路接口即可，不过，必须在建立时进行选择，建立保存后不能修改的* 远程VPN客户端电脑可以使用ipconfig查询到获得的内网IP四、 客户端设置1、 对于windows xp需要对注册表先进行修改，未修改会出现800错误* 进入注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters/* 点击右键新建一个DWORD值，名称为ProhibitIpSec，值为1* 重启后生效2、 建立拨号客户端* 控制台－网络连接－创建一个新的连接－连接到我的工作场所的网络－虚拟专用网络连接－输入连接的名称－不拨初始连接－输入防火墙设置第3步中outgoing interface所对应的公网IP地址－完成* 右键点击建立的网络连接图标－属性－安全－高级(自定义设置)－设置* 在出现的画面中，按下图设置，不理会警告，确定后退出五、 测试1、 鼠标右键双击建立的连接图标，在出现的提示框中输入防火墙设置第2步中设定的VPN用户名称和L2TP user password，点击连接。如果设置和用户密码均无错误，将会出现下图2、 稍候，系统将会提示已经连接，在cmd窗口中输入ipco