单点拨号访问内网（VPN方法）

首先设置一台防火墙有固定的IP地址，许可其他客户端（可变化获得的IP地址）来通过VPN安全通道访问防火墙后面的内部网络。在防火墙上先定义好一些VPN Dialup user用户。有三种类型的访问方式：⑴手工生成钥匙通道，⑵自动生成钥匙IKE通道（预共享密钥或认证）⑶动态点到内网VPN访问，自动生成钥匙IKE通道（预共享密钥或认证）。

举例子如下

===========

1． 基于策略的手工生成钥匙通道，拨到内网的VPN访问：

该VPN通道采用3DES数据加密和SHA-1的认证。顺序是-->网络接口-->对象地址-->对象用户(Manual Key)---**利用敲入的密码会生成16进制的串，这些串将被拷贝到Netscreen Remote客户端软件中用来配置好这个VPN通道使之可以使用。-->网络路由，路由表，Trust-vr接口生成新的条目―地址是0.0.0.0/0，网关选择到Untrust口,IP地址为Untrust接口IP地址的后一个地址（如果Untrust口地址是通过PPPoE自动获得的，可先查看并记录下），-->策略，从不可信口到可信口方向，新建一条策略,源地址为Dialup VPN

2． 基于策略的自动生成IKE，拨到内网的VPN访问：

（实验环境：NS5XP防火墙软件版本4.0.R6，NSRemote 5.1.3）。在防火墙上设置：在对象用户组中建立一个本地用户(wang)，类型为IKE，用Email地址(例如 wang@51cto.com)作为简单标识该用户；在VPN的AUTOKEY高级栏的GATEWAY中，新建一个‘从用户名到NSRemote’的网关，其安全LEVEL为自定义，Remote Gateway 的类型为拨号用户wang；敲入预共享的密码（字符串大于8个），然后在高级选项中配置（安全LEVEL为CUSTOM，Phase 1 Proposal为pre-g2-3des-sha，模式为Aggressive）；最后创建一条从UNTRUST到TRUST口的访问策略，允许从外部拨号到内部网络的指定机器，选上Position at top。 在NS Remote软件上，主要设好：UNTRUST口地址；标识Email地址；模式为Aggressive；预共享密码和防火墙端一样；认证中3des-sha1-g2；交换KEY中新建3中另外可能的组合（在DES，3DES，SHA，MD5之间组合）

1. set interface ethernet1 zone trust

2. set interface ethernet1 ip 172.30.5.1/24

3. set interface ethernet3 zone untrust

4. set interface ethernet3 ip 203.10.20.1/24

5. set address trust unix 172.30.5.6/32

6. set user wendy ike-id u-fqdn wparker@email.com

7. Preshared Key:

set ike gateway wendy-nsr dialup wendy aggressive outgoing-interface ethernet3 preshare h1p8a24ng proposal pre-g2-3des-sha

set vpn wendy_unix gateway wendy_nsr sec-level compatible

(or)

Certificates:

set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha-1

set ike gateway wendy_nsr cert peer-ca 1

set ike gateway wendy_nsr cert peer-cert-type x509-sig

set vpn wendy_unix gateway wendy_nsr sec-level compatible

8. set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 203.10.20.2

9. set policy top from untrust to trust “Dial-Up VPN” unix any tunnel vpn wendy_unix

10. save

3． NetScreen Remote软件端的设置：

1. Option>secure>specified Connections

2. Add a new connection, Type Unix next to the new connection icon appears

3. Configure the connection options:

connection security:secure

Remote part ID type: IP address

IP address: 172.30.5.6

Connect using secure Gateway Tunnel: (select)

ID type : IP address; xxx.10.20.1 // 防火墙上的UNTRUST口的地址

4. 点开+号，展开策略内容：

在 My Identity中 填入preshare Key为 h1p8a24ng 并在ID type 选Email Address 写上 wparker@email.com 或者 在certificate 下拉列表中 选 一个证书 ID type类型为 E-mail Address

5. 到security policy图标，选 Aggressive Mode

6. 点开 Authentication (phase 1)>proposal 1 并选择Triple DES 和 SHA-1 和 Diffie-Hellman Group 2

7. 点开 Key exchange(phase 2) > proposal 1 选择以下的IPSec协议：选中ESP后 Triple DES 和 SHA-1 和Tunnel 封装；再新建立3种另外组合，

8. 点击 save

设置完毕后就可以从拨号端访问内网了。

• ·识别千兆防火墙
• ·水浒传|报价￥13.70|图书,小说,中国古典
• ·测试防火墙系统
• ·三国演义|报价￥13.00|图书,小说,中国古
• ·个人防火墙的优缺点
• ·西游记|报价￥13.70|图书,小说,中国古典
• ·防火墙基本知识
• ·三国演义 袖珍绘本|报价￥9.50|图书,国学
• ·红楼梦 袖珍绘本|报价￥9.50|图书,小说
• ·如何设置一个可靠的防火墙系统保护公司内部网络