juniper-SSG140-VPN设置

JUNIPERSSG140防火墙VPN连接设置环境设备：JUNIPERSSG140防火墙两台笔记本电脑网件路由器搭建图如下：环境基本设置：防火墙：E0/0为trust区域，端口ip：10.0.1.100E0/2为untrust区域，端口ip：102.1.1.1（模拟公网ip）网件路由器：wan口ip：102.1.1.2（模拟公网ip）开启DHCP（192.168.1.X）笔记本：共享服务器ip：10.0.1.101，开启文件共享服务客户机ip：192.168.1.2（自动分配）防火墙VPN详细配置：在防火墙的trust区域内，用共享服务器ie登陆10.0.1.100，默认账号netscreen，密码netscreen1、选择objectIPPools，点击右上角NEW按钮，新建用于分配给VPN用户的地址池。输入地址池名称，起始IP，结束IP，点击OK保存。2、选择objectUsersLocal，点击右上角NEW按钮，新建用户输入VPN账号名，密码，勾选L2TPUser选项，下面IPPool选项中选择刚才创建的VPN用户地址池，点击ok保存3、选择objectUsersLocalGroups，点击右上角NEW按钮，新建VPN用户组输入用户组名称，将刚才创建的新用户添加到左边GroupMembers中，点击ok保存4、选择VPNsL2TPDefaultSettingS，进入L2TP默认设置，在IPPoolsname中选择刚才创建的VPN用户地址池，PPPAuthentication选择CHAP握手认证，DNS地址202.96.128.86（因为是测试环境，可以是自定义），点击Apply保存5、选择VPNsL2TPTunnel，点击右上角NEW按钮，新建VPNtunnel在name中填入VPNtunnel名称，DialupUser中选择刚才创建的VPN用户组，OutgoingInterface选择防火墙的外网端口（一般就是untrust区域的端口），IPPoolName中选择刚才创建的VPN用户地址池，DNS地址与上一步填写的ip一样，点击ok保存6、选择PolicyPolicies，新建访问策略。Trust区域Untrust区域：全开放any-anyUntrust区域Trust区域:在Sourceaddress源地址选项的AddressbookEntry中选择VPN，下面的Action中选择Tunnel，L2TP中选择刚才创建的VPN通道，勾上PositionatTop，点击右下角Advanced进入高级设置，把NAT选项的SourceTranslation勾上，点击ok保存生成两条策略：7、客户机新建VPN连接，右击VPN连接打开属性框,设置目的地主机地址为防火墙的外网地址102.1.1.1，在“安全”栏目中选择VPN类型为L2TP/IPsec，数据加密为“可选加密”，勾上“质询握手身份证协议”与“MicrosoftCHAPVersion2”8、客户机打开VPN连接，用户名和密码为刚才防火墙中新建的用户密码VPN连接成功后，客户机通过L2TP隧道可以正常穿过防火墙并访问防火墙内部的共享服务器至此，VPN设置结束。第二个测试为两台SSG140做双机热备，线路冗余，但不论是在CLi界面还是WEB界面，均提示NSRP服务异常，初步怀疑是防火墙没license授权，开启不了HA服务，所以测试失败。