Juniper_VPN配置

一、 环境介绍

1、 防火墙

* juniper SSG520

* 地址：192.168.1.1

2、 线路

* 双线接入，一条专线一条ADSL，但只选择其中一路作为VPN接入

二、 需求实现

1、 使用Windows自带VPN客户端从外网拨号L2TP VPN进入juniper内网

2、 获得分配地址段是172.16.1.10－172.16.1.20

三、 防火墙设置

1、 建立内网分配网段

* 登录SSG520，进入Objects -> IP Pools -> New，输入VPN拨号进入后可获分配的内网网址段。

* 这里需要注意，这个可分配网段不能和防火墙内网已经在用网段192.168.1.1在同一网段。因此，选择从172.16.1.10－172.16.1.20，名称为L2TPip，OK。

2、 建立VPN用户

* Objects -> Users -> Local -> New，在User Name中输入L2TPVPN1（用户名）。

* Status选择Enable，Number of Multiple Logins with Same ID如果选择1，则每次只能登录1个用户。

* 选择L2TP User，输入两次密码。

* 在IP Pool中选择第一步中来新建的内网分配网段L2TPip，按OK。

3、 修改L2TP的默认设置

* VPNs -> L2TP->Default Settings，输入IP POOL名称和ISP给予的DNS

* VPNs -> L2TP-> Tunnel，输入名称sales_corp，勾选Use Custom Settings，如果是单个用户，选择Dialup User(选择前面建立的用户L2TPVPN1)，如果是多个用户，选择Dialup Group（选择前面对应设置的VPN IP），在选择防火墙外网的接口outgoing interface，选择IP POOL。

4、 最后是建立一个VPN策略

* 进入policy->Policies页面，建立一条Untrust到Trust的策略，选择左上from Untrust，右上to trust，点击go，然后点击new。

* Source Address=Address Book Entry=Dial-up VPN，Destination Address=Address Book Entry=any（这里可以根据自己的需求设置允许访问哪些地址）

* Action=Tunnel，Tunnel = L2TP = sales_corp（第三步中建立的L2TP tunnel名称）

5、 备注

* Objects > Users > Local——处于“In Use”状态时，如果要删除用户或用户组，必须要想办法在Policies等处将该用户或用户组的相应策略、设置删除才能删除

* 此处介绍的是单用户方法，如果用户需要使用2个以上用户，必须在建立用户后，马上到Local Groups上将几个用户划入用户组中(否则建立策略和其它设置后用户不能使用也不能删除)

* 如果需要在不同线路上也建立VPN，则在第3步建立L2TP的tunnel时，将Outgoing Interface改成另外线路接口即可，不过，必须在建立时进行选择，建立保存后不能修改的

* 远程VPN客户端电脑可以使用ipconfig查询到获得的内网IP

四、 客户端设置

1、 对于windows xp需要对注册表先进行修改，未修改会出现800错误

* 进入注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters/

* 点击右键新建一个DWORD值，名称为ProhibitIpSec，值为1

* 重启后生效

2、 建立拨号客户端

* 控制台－>网络连接－>创建一个新的连接－>连接到我的工作场所的网络－>虚拟专用网络连接－>输入连接的名称－>不拨初始连接－>输入防火墙设置第3步中outgoing interface所对应的公网IP地址－>完成

* 右键点击建立的网络连接图标－>属性－>安全－>高级(自定义设置)－>设置

* 在出现的画面中，按下图设置，不理会警告，确定后退出

五、 测试

1、 鼠标右键双击建立的连接图标，在出现的提示框中输入防火墙设置第2步中设定的VPN用户名称和L2TP user password，点击连接。

2、 稍候，系统将会提示已经连接，在cmd窗口中输入ipconfig可知已获得IP并可ping通内网。