Juniper防火墙图解L2TP配置

Juniper 防火墙v6.0以上版本L2tpvpn (for XP Win7)配置图解防火墙端配置1、新建地址池Objects – IP Pools – NewIP Pool Name ：用户自定义名称Start IP ：用户自定义一段地址的起始地址End IP ：用户自定义一段地址的结束地址2、修改L2TP 默认设置VPNs – L2TP – Default Settings3、建立用户和组3.1 新建用户Objects – Users – Local -- New重复这个过程，建立多个用户3.2 新建用户组Objects – Users – Local Group -- New4、建立Vpn Tunnel建立tunnel前，先确定好用于拨入VPN的接口编号。

VPNs – L2TP – Tunnel -- New5、建立策略Policy – Policies – NewSource Address : 选择 Dial-UP VPNDestination Address : 选择 New Address ，填入你要访问的目的地址或目的地址段(Any) Service ：选择要访问的服务Action : 选择 tunnelL2TP ：选择新建的L2TP vpn tunnelLogging ：可选记录访问日志客户端配置1.1XP端配置1.1.1建立拨号网上邻居右键属性-点击新建连接向导图标点击完成，vpn拨号配置建立完，后面进行配置调整在新建的vpn连接上右键属性提示保留配置时选择Y 1.1.2修改注册表点击开始—运行 --- 键入 regedit命令点击确定，进入注册表配置。

进入 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters ，在右侧新建值命名为“ProhibitIpSec”注意大小写，数值为1修改完毕后重启计算机，进行vpn拨号测试用户名和密码栏中填入防火墙端配置的用户名和密码。

1、点击：Objects 中的IPPools添加一个IP地址池，这个地址池主要用来给我们通过L2TPVPN拨号进来的用户分配的内网的IP 地址。

如上图：IP Pool Name 输入地址池名字，以便调用；Start IP：地址池起始地址；End IP：地址池结束地址；输入好后点击OK。

2、地址池创建完毕后，点击Objects - Users - Local 点击New 创建用户如上图：输入User Name；User Password：输入密码；选中L2TP User；3、用户创建完毕后，创建用户组点击New进入创建用户组界面。

如下图：Group Name：输入组名；Availale Memgers下将创建好的用户点击“<<”添加到Group Members中点击OK。

4、用户组创建完毕后，进行L2TP缺省设置。

5、建立L2TP隧道，如下图点击New来新建一个。

如上图：Name：输入隧道名称；Dialup Group：修改成刚才创建的VPN拨号用户组；Outgoing Interface：我们出去通过那个接口，因为NS5GT是一款低端的juniper防火墙，只有trust与untrust，因为要做测试所以把VPN接口设置成内网接口trust，所以我这里就选择trust。

6、创建防火墙策略，下面我们来设置策略“Policis”在这下面有一个“From”后面选择“untrust”，“TO”后面选择“Trust”表示，我们现在要建立一条策略是从“Untrust”到“Trust”的，选择好以后点击后面的“New”来进行建立。

如下图：设置好点击OK。

需要强调的是现在创建的是测试内网VPN拨号，如果接入外网需要在第五步创建L2TP隧道时将Outgoing Interface设置成untrust，然后将重新创建防火墙策略。

这里防火墙的L2TP隧道创建完毕，下面是XP客户端创建VPN拨号连接。

XP 下VPN客户端具体设置如下：1、打开网络连接属性；2、左边“创建一个新的连接”；3、在弹出的“新连接向导”中点击“下一步”；4、选择“连接到我的工作场所的网络”后点击下一步；5、选择“虚拟专用网络连接”后点击“下一步”；6、输入公司名“XXX”后点击下一步；7、输入VPN服务器IP“192.168.1.254”后点击“下一步”；s 8、点击“完成”；9、弹出“连接”对话框点击“属性”；10、选择“高级（自定义设置）”—>选择“高级”—>点击“设置”；11、在“数据机密”下选择“可选加密”，还有下面“允许这些协议”，下面的“质询握手身份验证协议（CHAP）”；12、“网络”选项卡“VPN类型”改成“L2TP IPSec VPN”；13、须修改注册表，双击附带的注册表文件导入到注册表中后重新启动计算机；1、手动修改注册表，运行输入“regedit”打开注册表编辑器，2、找到以下这个表项：“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters”，3、在右边新填一个“DOWN值”。

Netscreen 204防火墙/VPN NSRP(HA)冗余设置步骤目录一、网络拓扑结构图 (3)二、设置步骤 (3)三、命令行配置方式 (4)四、图形界面下的配置步骤 (8)设置前请先将在线主防火墙的配置备份一次，具体步骤请参考《维护文档》一、网络拓扑结构图二、设置步骤1、将两台防火墙的第四个端口连接在一起，我们设置将原有防火墙设置为主防火墙，新增加的防火墙为备份的防火墙，备份的防火墙只连接第四个端口，其他的端口将在防火墙配置完毕后才连接上2、使用终端线缆连接到防火墙的Console口，超级终端参数设置为9600-8-无-1-无。

三、命令行配置方式蓝色字体为在超级终端上输入的命令3.1、主防火墙配置，（移动公司在线使用的Netscreen-204防火墙）ns204>unset interface e4 ip将端口4的IP地址删除，ns204>set interface e4 zone ha将端口4和HA区域绑定一起配置NSRPns204->ns204->ns204-> get nsrp查看NSRP配置信息nsrp version: 2.0cluster info:cluster id not set: nsrp is inactive 默认的情况下NSRP没有击活VSD group info:init hold time: 5heartbeat lost threshold: 3heartbeat interval: 1000(ms)group priority preempt holddown inelig master PB other memberstotal number of vsd groups: 0Total iteration=3808,time=2721060,max=880,min=286,average=714RTO mirror info:run time object sync: disabledping session sync: enabledcoldstart sync donensrp link info:no nsrp link has been defined yetNSRP encryption: disabled--- more ---NSRP authentication: disabledNSRP monitor interface: nonenumber of gratuitous arps: 4 (default)track ip: disabledns204-> set nsrp cluster id 1 设置cluster组号ns204(M)-> set nsrp vsd id 0 设置VSD的组号,这条命令可以不用输入，因为Netscreen防火墙的默认的虚拟安全数据库（VSD）的值是0。

1.设置外网IP为112.95.134.97 ，内网IP 为172.20.50.20/24 ，设置防火墙接口及路由，使PC 172.20.50.21 能通过防火墙网关收发邮件，使用MSN，而浏览Internet则控制在周一至周五8:00至12:00、13:00至17:00以外的时间，速度限制保证最低带宽200Kbps，最大为300Kbps ，优先级为71、编辑ethernet0/0 interface trust 172.20.50.20/242、editor ethernet0/3 zone:untrust IP:112.95.134.97Interface mode :routeManagement services:只保留ping功能用于测试3、set DNS host name:SSG550 202.96.134.133 ethernet0/3172.20.30.197 ehternet0/04、set address object:Test-pc IP address:172.20.50.21/32 ZONE: Trust5、add service group:http msn mail6、add schedules :comment 172.20.50.217、set policy name:test 1 source addr:test pc destination addr:any services ???8、policy advanced set: 流量控制schedule：test1添加路由：0.0.0.0/0 GW:112.95.134.1 nexthop:ethernet0/32.创建VIP组，将172.20.50.21 的3389端口映射，使外网用户能telnet 到172.20.50.21的3389端口。

1、interface >edit>vip/vip services:Ethernet0/3:same as the interface ip adderssNew Vip services2、new policy : name test2 destination addr :vip (interface0/3)Service select TELNET3．深圳百丽与宿州百丽都可上Internet，现通过IPsec VPN将两地网络互联，使PC172.20.50.21能PING通172.20.160.199 。

SSG 550 L2TP VPN 服务端搭建（详细过程）
一、首先创建一个IP 地址池，该地址池的作用主要为通过拨号进来的VPN用户分配一个IP地址。

Objects ------IP Pools---new（如图）
二、创建用户及用户组
（如果单个用户的可以忽略用户组的过程）
Objects -----Users -----new
完成后状态
填写组名，并将用户vpn001添加到组中。

完成后的效果：
三、L2TP的设置
VPNs ------L2TP --------Default Settings
VPNs ------L2TP --------tunnel
四、Policy ------Policies
New （untrust ---------trust）
完成后
五、路由部分
如果内部有接其他路由器或三层设备，则要做一条路由指向设备的网关地址
如设备的挂你地址为10.10.10.10
在路由器和三层交换设备上加条路由：ip route 192.168.1.0 255.255.255.0 10.10.10.10
注意和疑问：
客户端获取的后ip情况
Ip add：192.168.1.2 netmask：255.255.255.255 网关：0.0.0.0 为什么netmask和网关是这样的有点不了解。

能完善的朋友请邮件1990819059@。

图中ETH0口：为Internet口
客户端拨号设置：忽略。

这没多大问题一般都能搞定。

Juniper SSG-5（NS-5GT）防火墙配置手册初始化设置 (2)Internet网络设置 (6)一般策略设置 (16)VPN连接设置 (28)初始化设置1.将防火墙设备通电，连接网线从防火墙e0\2口连接到电脑网卡。

2.电脑本地连接设置静态IP地址，IP地址192.168.1.2（在192.168.1.0/24都可以），子网掩码255.255.255.0，默认网关192.168.1.1，如下图：3.设置好IP地址后，测试连通，在命令行ping 192.168.1.1，如下图：4.从IE浏览器登陆防火墙web页面，在地址栏输入192.168.1.1，如下图向导选择最下面No, skip——，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6.登陆到web管理页面，选择Configuration – Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：7.选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议IP设置选择Static IP，IP Address输入规划好的本地内网IP地址，如192.168.22.1/24，Manage IP 192.168.22.1。

之后勾选Web UI，Telnet，SSH，SNMP，SSL，Ping。

如下图：Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3.选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4.此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting，在如下图输入本地ADSL pppoe拨号账号，PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图：PPPoE拨号设置完毕之后，点击Connect，如下图：回到Interface –List，可以看到此拨号连接的连接状态，如下图：ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。

Juniper防火墙简单配置说明Netscreen-25从左向右依次为Trust Interface、DMZ Interface、Untrust Interface、Null。

其中Trust Interface相当于HUB口，下行连接内部网络设备。

Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。

DMZ Interface、 Null介绍从略。

下文仅简单地以马可尼网管服务器和南瑞通信综合网管系统中一台前置机通信为例。

南瑞综合网管系统前置机地址为192.168.1.4，马可尼传输网管地址为192.168.0.32。

配置完成后，实现马可尼网管只能与192.168.1.4前置机通信，其他192.168.1.X机器都无法访问马可尼网管。

配置前的准备1.先更改控制终端(如果用自己笔记本调试自己笔记本就是控制终端)的IP地址为192.168.1.X，子网255.255.255.0控制终端通过直通网线与Trust Interface相连（也就是第一个口），用IE登录设备主页（最好用IE，其他浏览器可能会出现不兼容的状况）。

在地址栏里输入192.168.1.1。

出现下图：跳跃过初始化防火墙步骤. 选择第三行,点击next.输入缺省登陆帐号: netscreen 密码:netscreen登陆后出现主页面展开左边资源树，单击Interface后，出现下图界面。

首先配置ethernet1口（即第一个口）的IP和子网掩码。

单击上图ethernet1行中的Edit，出现下图：Netscreen-25防火墙默认第一个口为Trust区，即信任区。

选择Static IP输入ethernet1端口的配置地址192.168.1.243/24后点击Apply 后单击OK。

如果不点击OK，设备重启配置则无效。

用同样方法配置第三个口Untrust区，即非信任区。

设置IP为192.168.0.243/24设置完成后点击OK，保存设置。

Juniper SSG-5（NS-5GT）防火墙配置手册初始化设置 (2)Internet网络设置 (6)一般策略设置 (16)VPN连接设置 (28)初始化设置1.将防火墙设备通电，连接网线从防火墙e0\2口连接到电脑网卡。

2.电脑本地连接设置静态IP地址，IP地址192.168.1.2（在192.168.1.0/24都可以），子网掩码255.255.255.0，默认网关192.168.1.1，如下图：3.设置好IP地址后，测试连通，在命令行ping 192.168.1.1，如下图：4.从IE浏览器登陆防火墙web页面，在地址栏输入192.168.1.1，如下图向导选择最下面No, skip——，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6.登陆到web管理页面，选择Configuration – Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：7.选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议IP设置选择Static IP，IP Address输入规划好的本地内网IP地址，如192.168.22.1/24，Manage IP 192.168.22.1。

之后勾选Web UI，Telnet，SSH，SNMP，SSL，Ping。

如下图：Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3.选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4.此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting，在如下图输入本地ADSL pppoe拨号账号，PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图：PPPoE拨号设置完毕之后，点击Connect，如下图：回到Interface –List，可以看到此拨号连接的连接状态，如下图：ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。

juniper防火墙简单配置（J...juniper防火墙简单配置（Juniper firewall simple configuration）取消重点保护使设置时钟的时区7设置时钟DST重复启动2 0 3日02:00结束平日1 0 11 02:00vrouter信任虚拟共享设置设置“不信任vrouter VR”出口集vrouter信任VR”设置自动路径导出出口集appleichat使ALG不appleichat重新装配使ALG集ALG SCTP使认证服务器设置“本地”ID 0认证服务器设置“本地”服务器名称“地方”认证服务器设置“本地”ID 1认证服务器设置“本地”服务器名称“地方”设置默认的认证服务器认证的“地方”设置认证RADIUS记帐端口1646设置管理员名称”txbfhq”设置管理员密码”npd4p / ryerllc51dfsub2fgt96d5on”设置管理访问尝试1集失败960管理员访问锁设置管理员认证网络超时0设置管理认证服务器的“本地”设置管理员认证远程根设置管理格式设置区的“信任”vrouter信任VR”设置区的“不信任”的vrouter信任VR”集区dmz vrouter信任VR”集区”vrouter VLAN”“信任VR”设置区的“不信任”的信任vrouter屯“VR”设置区的“信任”的TCP RST不带“不信任”的块不带“不信任”的TCP RST集区”管理”模块不带“V1信任“TCP RST不带“V1不信任”的TCP RST不带“DMZ”TCP RS T不带“v1-dmz”TCP RST不带“VLAN”TCP RST设置区的“信任”屏幕IP欺骗基于区不带“不信任”的屏幕的泪滴不带“不信任”的屏幕SYN洪水不带“不信任”的屏幕平死不带“不信任”的屏幕的IP筛选器SRC 不带“不信任”的屏幕的土地设置区的“不信任”的屏幕区基于IP欺骗集区V1不信任”的屏幕的泪滴集区V1不信任”的屏幕SYN洪水集区V1不信任”的屏幕平死集区V1不信任”屏幕的IP筛选器SRC集区V1不信任”屏幕的土地集区dmz屏幕报警不降集区“DMZ”屏幕上的隧道集区dmz屏幕ICMP洪水集区dmz屏幕泛滥集区dmz屏幕WinNuke集区dmz屏幕IP扫描集区“DMZ”屏幕的泪滴集区dmz屏幕SYN洪水集区dmz屏幕IP欺骗集区dmz屏平死集区“DMZ”屏幕的IP筛选器SRC 集区“DMZ”屏幕的土地集区“DMZ”屏幕的SYN片段集区dmz屏幕TCP没有国旗集区dmz筛选未知协议集区dmz屏幕IP不坏的选择集区“DMZ”屏幕的IP记录路由集区“DMZ”屏幕选择IP时间戳集区dmz屏幕IP安全选择集区dmz屏幕IP松散的src路径集区dmz屏幕IP严格的src路径集区“DMZ”屏幕选择IP流集区dmz屏幕ICMP片段集区dmz ICMP大屏幕集区dmz屏幕同翅集区dmz屏翅无确认集区dmz屏幕限制会话的源IP集区dmz屏幕SYN ACK ACK代理集区dmz屏幕块碎片集区dmz屏幕限制会话的IP目标集区dmz屏幕组件块拉链集区dmz屏幕组件块罐集区dmz屏幕组件块EXE集区dmz屏幕组件阻止ActiveX集区dmz屏幕ICMP ID集区dmz屏幕TCP扫描集区dmz屏幕IP欺骗下降RPF路由设置界面“Ethernet0 / 0区”“信任”设置界面“Ethernet0 / 1“区”非军事区”设置界面“Ethernet0 / 2区”“不信任”设置界面“Ethernet0 / 3“区”V1空”设置IP 10.0.3.9/24接口Ethernet0 / 0设置NAT接口Ethernet0 / 0设置接口VLAN1的IP设置IP 192.168.2.1/24接口Ethernet0 / 1 设置NAT接口Ethernet0 / 1设置IP 218.89.188.50/24接口Ethernet0 / 2 设置NAT接口Ethernet0 / 2设置接口VLAN1绕过其他IPSec设置接口VLAN1旁路非IP设置接口Ethernet0 / 0 IP管理设置接口Ethernet0 / 1 IP管理设置接口Ethernet0 / 2 IP管理设置接口Ethernet0 / 1管理SSH设置管理Telnet接口Ethernet0 / 1设置管理SNMP接口Ethernet0 / 1设置接口Ethernet0 / 1管理SSL设置接口Ethernet0 / 1管理网络设置接口Ethernet0 / 2管理平设置接口Ethernet0 / 2管理SSH设置管理Telnet接口Ethernet0 / 2设置管理SNMP接口Ethernet0 / 2设置接口Ethernet0 / 2管理SSL设置接口Ethernet0 / 2管理网络设置接口Ethernet0接口IP 8079 / 1VIP“http”218.89.189.232设置接口Ethernet0接口IP 8080 / 1 VIP“http”218.89.188.50设置接口Ethernet0接口IP 8077 / 1 VIP“http”10.0.3.10设置接口Ethernet0接口IP 8078 / 1 VIP“http”10.0.3.9设置界面“Ethernet0 / 2“218.89.188.50主机子网掩码255.255.255.255 10.0.3.10 MIP VR”信任VR”设置流量没有TCP序列检查设置流SYN校验设置流TCP SYN位检查设置流量反向路径清晰的文本选择设置流量反向路由隧道总是设置默认的权限模式PKI SCEP“自动”设置默认路径部分PKI X509证书设置地址的“信任”“10.0.3.1 / 24“10.0.3.1 255.255.255.0设置地址的“信任”“218.89.189.1 / 24“218.89.189.1 255.255.255.0设置地址“DMZ”“123”192.168.2.3 255.255.255.255设置地址“DMZ”kbx”10.0.3.10 255.255.255.0设置地址“DMZ”oda1”1.2.1.8 255.255.255.255设置地址“DMZ”oda2”1.2.1.8 255.255.255.255设置用户“恒源祥”UID 3设置用户“恒源祥”型奥特湾设置用户“恒源祥”密码“rvx4ldt9nz8bftsee1cajiiyq + nq9j3hyq = =“设置用户“恒源祥”“启用”设置用户“DW”UID 4设置用户“DW”型奥特湾设置用户“DW”密码“jbbrzotvn7ma6ssjcacxvyrw9jnjo3uwmg = =“设置用户“DW”“启用”设置用户的“kbx UID 1设置用户的“kbx”型奥特湾设置用户的“kbx“密码”sbofmfycngvprksk1mcvhzgdovnjbjd5rq = =“设置用户的“kbx”“启用”设置密码策略出口设置IKE响应不良SPI 1集艾克IKEv2 IKE SA软寿命60撤消艾克ikeid枚举撤消艾克DOS保护设置访问会话启用IPSec集IPSec接入会话最大5000集IPSec接入会话上限0集IPSec接入会议门槛降低0集IPSec接入会话dead-p2-sa-timeout 0 设置IPSec接入会话日志错误设置IPSec接入会话信息交换连接设置IPSec接入会话使用错误日志设置“不信任vrouter VR”出口集vrouter信任VR”出口设置URL协议Websense出口将策略ID从“信任”设置为“信任”、“任何”、“任何”、“任何”允许日志。

配置Client-Initialized方式的L2TP举例组网需求如图1所示，某公司的网络环境描述如下：•公司总部通过USG5300与Internet连接。

•出差员工需要通过USG5300访问公司总部的资源。

图1配置Client-Initialized方式的L2TP组网图配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。

配置思路1配置客户端。

2根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。

3配置防火墙策略。

4配置LNS。

数据准备为完成此配置例，需准备如下的数据：•防火墙各接口的IP地址。

•本地用户名和密码。

操作步骤配置客户端。

说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。

1在“开始> 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。

1在界面左侧导航树中，定位至“我的电脑> HKEY_LOCAL_MACHINE >SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。

在该路径下右侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。

如果不存在，请单击右键，选择“新建> DWORD值”，并将名称命名为ProhibitIpSec。

如果此键值已经存在，请执行下面的步骤。

1选中该值，单击右键，选择“修改”，编辑DWORD值。

在“数值数据”文本框中填写1，单击“确定”。

1重新启动该PC，使修改生效。

此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。

# 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。

# 配置客户端计算机的主机名为client1。

# 创建L2TP连接。

1打开“我的电脑> 控制面板> 网络连接”，在“网络任务”中选择“创建一个新的连接”，在弹出的界面中选择“下一步”。