Juniper 防火墙拨号VPN使用第三方VPN客户端配置管理手册

2024年3月29日发(作者：郁贞)

Juniper 防火墙拨号VPN使用第三方VPN客户端配置管理手册

JUNOS AND SCREEN OS

Xiao Fang

Juniper 系统工程师

Juniper Networks, Inc.

上海市淮海中路333号瑞安广场1102-1104室

邮编:200021

电话:61415000

第 1 页 共 20 页

Juniper remote vpn client 软件停产不支持windows7平台并且不能与其他网络设备厂商VPN客户端兼容,为此推荐使用第三方shrew soft Inc公司VPN客户端。

第三方VPN客户端厂商:Shrew soft Inc.

最新客户端版本下载：/download/vpn

VPN Client For Windows

2.1.6-relea Aug 17 2010 Windows 2K/XP/Vista/7 All

声明：

该客户端为第三方厂商免费客户端,如有新版本、relea请查看官方网站。

2.1.6-relea版本修复主要BUG如下：

1）、修复进程造成客户端CPU高问题

2）、修复VPN客户端config push功能

2.1.6-relea版本增加主要新特性如下：

1)、增加VPN客户端配置文件导入、导出功能,减轻管理员VPN客户端维护工作量

2)、增加VPN客户端策略精细配置功能

本文介绍该客户端在SCREEN OS和JUNOS环境下工作和配置指导

一、Netscreen Screen os-基于Shrew soft vpn 客户端拨号VPN（Windows7环境）

为了能够体现配置的真实性、可观性、此次配置将采用真实环境进行配置演示，具体如下：

第一步、配置Screen OS防火墙,具体步骤简述如下：

上图表示定义VPN客户端地址池（可定义多个地址池）

上图表示建立VPN用户（用户加入到相应的VPN组）

第 2 页 共 20 页

上图表示将VPN用户加入到相应的组中

上图表示全局配置Xauth设置

第 3 页 共 20 页

上图表示定义第一阶段VPN设置

第 4 页 共 20 页

上图表示定义第二阶段VPN设置

上图表示定义VPN策略

第二步、防火墙拨号VPN配置完毕,配置shrew soft Inc公司VPN客户端

第 5 页 共 20 页

首先导入VPN客户端配置文件（本次操作前已经配置并保存好,下面将会介绍配置操作）

上图表示导入VPN客户端配置文件操作

第 6 页 共 20 页

上图表示VPN客户端拨号过程及客户端360安全卫士提醒

上图表示拨号成功，能够成功访问防火墙内网，并且可以看到客户端流量图。

下面将全面介绍客户端配置,请注意查看每一个步骤。

第 7 页 共 20 页

第 8 页 共 20 页

第 9 页 共 20 页

第 10 页 共 20 页

为此VPN客户端配置结束,可以查看日志和SA状态如下：

SSG520-> get ev

Date Time Module Level Type Description

2010-09-06 21:45:46 system info 00536 IKE 58.41.25.4 Pha 2 msg ID

1d2fe540:

Completed negotiations with SPI

38cfdc91, tunnel ID 32788, and

lifetime 3600 conds/0 KB.

2010-09-06 21:45:46 system info 00536 IKE 58.41.25.4 Pha 2 msg-id

1d2fe540:

Completed for ur .

2010-09-06 21:45:46 system info 00536 IKE 58.41.25.4 pha 2:The symmetric

crypto key has been generated

successfully.

2010-09-06 21:45:46 system info 00536 IKE 58.41.25.4 Pha 2 msg ID

1d2fe540:

Responded to the peer's first

message

from ur .

2010-09-06 21:45:40 system info 00536 IKE 58.41.25.4: XAuth login was

pasd

for gateway vpn-gw, urname test,

retry: 0, Client IP Addr 1.1.1.4,

IPPool name: ip-pool-vpn,

第 11 页 共 20 页

Session-Timeout: 0s, Idle-Timeout:

0s.

2010-09-06 21:45:40 system info 00536 IKE 58.41.25.4: XAuth login was

refreshed for urname test at

1.1.1.4/

255.255.255.255.

2010-09-06 21:45:40 system info 00536 Rejected an IKE packet on ethernet0/3

from 58.41.25.4:4500 to

221.133.236.54:

4500 with cookies 00e6d573bb393189

and

5728784dd08d8044 becau A Pha 2

packet arrived while XAuth was

still

pending.

2010-09-06 21:45:40 system info 00536 IKE 58.41.25.4 Pha 1: Completed

Aggressive mode negotiations with a

28800-cond lifetime.

SSG520-> get sa

total configured sa: 2

HEX ID Gateway Port Algorithm SPI Life:c kb Sta

PID vsys

00000001< 0.0.0.0 500 esp:3des/sha1 00000000 expir unlim I/I

8 0

00000001> 0.0.0.0 500 esp:3des/sha1 00000000 expir unlim I/I

-1 0

00008014< 58.41.25.4 4500 esp:3des/sha1 38cfdc91 3558 unlim A/D

8 0

00008014> 58.41.25.4 4500 esp:3des/sha1 853b3643 3558 unlim A/D

-1 0

SSG520->

二、SRX-基于Remote VPN 客户端拨号VPN

为了能够体现其配置真实性、可观性、此次配置将采用真实环境进行配置演示,具体如下：

第一步：定义分配给VPN拨号用户的IP地址池

t access address-pool xauth-pool address-range low 30.1.1.1

t access address-pool xauth-pool address-range high 30.1.1.100

第二步：定义VPN拨号用户

t access profile xauth-urs authentication-order password

t access profile xauth-urs client test1 firewall-ur password "$9$qmQF69A01R/9M8xNbw"

t access profile xauth-urs client test2 firewall-ur password "$9$zPWq3Ct0BIcreOB-Vs2aJ"

第三步：定义IKE Proposal

t curity ike proposal dialup-proposal authentication-method pre-shared-keys

第 12 页 共 20 页

t curity ike proposal dialup-proposal dh-group group2

t curity ike proposal dialup-proposal authentication-algorithm sha1

t curity ike proposal dialup-proposal encryption-algorithm aes-128-cbc

第四步：定义IPSEC Proposal

t curity ipc proposal dialup-proposal protocol esp

t curity ipc proposal dialup-proposal authentication-algorithm hmac-sha1-96

t curity ipc proposal dialup-proposal encryption-algorithm aes-128-cbc

第五步： 定义IKE policy

t curity ike policy dialup-policy mode aggressive

t curity ike policy dialup-policy proposals dialup-proposal

t curity ike policy dialup-policy pre-shared-key ascii-text “JUNIPER-WXF1987”

第六步：定义IKE gateway

t curity ike gateway dialup-ike ike-policy dialup-policy

t curity ike gateway dialup-ike dynamic hostname juniper

t curity ike gateway dialup-ike dynamic connections-limit 100

t curity ike gateway dialup-ike dynamic ike-ur-type shared-ike-id

t curity ike gateway dialup-ike external-interface ge-0/0/8.0 选择VPN接受从那个接口拨进来

t curity ike gateway dialup-ike xauth access-profile xauth-urs

第七步：定义Ipc policy

t curity ipc policy dialup-policy2 proposals dialup-proposal

t curity ipc policy ipc-pol perfect-forward-crecy keys group2

t curity ipc policy ipc-pol proposals pha2-prop

第八步：定义ipv vpn

t curity ipc vpn dialup-vpn ike gateway dialup-ike

t curity ipc vpn dialup-vpn ike ipc-policy dialup-policy2

t curity ipc vpn dialup-vpn establish-tunnels on-traffic

第九步：定义VPN策略<内部允许访问的资源>

t curity policies from-zone untrust to-zone dmz policy dialup-vpn match source-address any

t curity policies from-zone untrust to-zone dmz policy dialup-vpn match destination-address

10.0.100.0/24-vlan_3

t curity policies from-zone untrust to-zone dmz policy dialup-vpn match destination-address

10.0.110.0/24-vlan_4

t curity policies from-zone untrust to-zone dmz policy dialup-vpn match destination-address

10.0.130.0/24-vlan_5

t curity policies from-zone untrust to-zone dmz policy dialup-vpn match destination-address

10.0.140.0/24-vlan6

t curity policies from-zone untrust to-zone dmz policy dialup-vpn match application any

t curity policies from-zone untrust to-zone dmz policy dialup-vpn then permit tunnel ipc-vpn

dialup-vpn

t curity policies from-zone untrust to-zone dmz policy dialup-vpn then log ssion-init

t curity policies from-zone untrust to-zone dmz policy dialup-vpn then log ssion-clo

至此ipc 拨号VPN设备配置完成。

接下来我们将演示

第 13 页 共 20 页

1、如何配置Juniper Remote vpn 客户端

2、如何配置第三方ShrewSoft VPN Client

首先我们介绍Juniper Remote vpn 客户端配置，参考如下截图配置<依据上述配置进行>：

第 14 页 共 20 页

第 15 页 共 20 页

客户端查看连接状态如上，设备端查看连接状态如下：

第 16 页 共 20 页

接下来我们介绍ShrewSoft VPN Client客户端配置，参考如下截图配置<依据上述配置进行>：

软件下载地址：/download

Plea Select Your Download





VPN Client For Windows

VPN Client For Linux and BSD

第 17 页 共 20 页

第 18 页 共 20 页

第 19 页 共 20 页

至此IPSEC VPN客户端拨号两种类型客户端配置介绍到此为止,如有问题请联系文档编辑者。

第 20 页 共 20 页