juniper ssg5 L2TPVPN.doc

NetScreen SSG5 L2TP VPN 客户端拨号配置笔记分享到：更多22012-05-20 分类：知识库2人评论877 views最近在捣鼓公司的Juniper NetScreen SSG5，因此最近出现了一系列的关于Juniper NetScreen SSG5的文章，如Juniper NetScreen SSG5 恢复出厂设置、Juniper NetScreen SSG5 设置为透明模式一共有2台SSG5，一台被集成商作为网关部署在了浦东（既然这样还要路由器干什么），而另一台暂时没有使用（因为浦西网络双出口，他们就不知道怎么处理防火墙了囧）。因为浦东的录音工控机有个怪毛病，不能直接重启，必须关机再启动，否则PCI录音卡会无法识别。那么只能尽可能不重启，但是总有打个补丁或者其他情况需要重启的，每次人工开启就太麻烦了。于是就用上了Wake on LAN（WOL 网络唤醒）这项技术。基础知识就不普及了，有兴趣的百度百科吧。关于如何利用Wake on LAN 远程唤醒服务器就另外介绍了。那么要进入这个LAN，就只能用VPN了，浦西的Cisco RV042自带PPTP服务，非常方便。而Juniper的设置就相对复杂了，不过复杂的定制性就很高了。网上参考率许多NetScreen SSG5配置L2TPVPN的文章，基本上大同小异，下面引用一下常规的配置方法：1、创建一个拨号VPN客户端地址段：CLI命令为dial-up-vpn-addr ip段：192.168.24.0/24 zone：trustWebUI配置如图：2、创建一个IP地址池命名ip pool：vpn-ip-pool 从192.168.24.20.20到192.168.24.403、创建一个test1用户，选择L2TP User，并添加user password，并关联IP地址池（vpn-ip-pool）4、创建一个L2TP-vpn用户组，并把available members下面test1账号添加到左边group members5、修改L2TP隧道的默认设置，关联IP地址池（vpn-ip-pool），选择chap的ppp认证及添加DNS6、在tunnel页面选择dialup group并以刚创建的L2TP-vpn作为拨号组，并选择外网端口Ethernet0/0，并关联IP地址池（vpn-ip-pool）,Tunnel的name为YS_VPN,由于截图没把name截出来7、创建一条策略from untrust to trust，源地址为Dial-UpVPN，由于拨号进来不只要访问本地网络还有公司网络，所以目的地址：ANY 并在Action修改为：tunnel，L2TP:YS_VPN，然后，在logging 与at session beginning打 以上配置部分内容引用自搭建Netscreen SSG5基于L2TP协议拨号平台其实步骤也不多，一共7步（现在熟练了感觉还是很好理解的，一开始摸索的时候相信大家也都是云里雾里的）。好了，现在可以用Windows自带VPN拨号连接了。看到一些介绍说还需要改一下注册表，不过我是Win7 x64的倒是直接就连了上去。注册表文件内容如下，保存为.reg文件执行即可。Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParametersServiceDll=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f, 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00, 72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00Medias=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00CustomDLL=hex(7):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00, 20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4d,00,53,00,4e,00,5c,00,4d,00,53, 00,4e,00,43,00,6f,00,72,00,65,00,46,00,69,00,6c,00,65,00,73,00,5c,00,63,00, 75,00,73,00,74,00,64,00,69,00,61,00,6c,00,2e,00,64,00,6c,00,6c,00,00,00,00, 00ServiceDllUnloadOnStop=dword:00000001AllowL2TPWeakCrypto=dword:00000000AllowPPTPWeakCrypto=dword:00000000KeepRasConnections=dword:00000000ProhibitIpSec=dword:00000001AllocatedLuids=hex:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParametersQuarantineAutoRefreshEnabled=dword:00000000AutoRefreshTimeout=dword:01808580Enabled=dword:00000001WorkItemTimeout=dword:00000bb8接着在设置vp