02
2010
12

M0n0wall软件防火墙8:与Juniper SSG-5建立IPsec VPN

Juniper防火墙是用的比较多的防火墙,相关资料可以参考[Juniper防火墙新手教程总结] ,而IPsec VPN是使用最多的点到点VPN协议,参考:[IPSec VPN的详细介绍] ,因为协议的通用性,因此不同设备之间可以互相建立IPsec VPN,这里介绍一下M0n0wall软件防火墙与Juniper SSG-5建立IPsec VPN的配置过程。

测试环境:

Juniper SSG-5 位于北京,固定IP

M0n0wall软件防火墙位于上海,ADSL拨号上网,动态IP

Juniper SSG-5配置

新建一个VPN的Gateway,随便起个名字,看的懂就行。

由于对端是动态IP,因此选择“Dynamic IP Address”,为对端起个识别名称,只要两端一只即可。

M0n0wall与Juniper SSG-5建立IPsec VPN

进入高级选选,输入一个“Preshared Key”,用于两边认证识别,我这里填写的是“liusuping”。

接口选择juniper设备的外网接口。

Phase 1 Proposal 认证的加密协议选择custom,要与M0n0wall的Phase 1协议一致。

模式选择“Aggressive ”,这个模式比较快一点而已,用main模式也可以,要与M0n0wall的Phase 1协议一致。

M0n0wall与Juniper SSG-5建立IPsec VPN

建立一个IKE,起个VPN名称,选择前面建立的Gateway。

进入高级选项。

M0n0wall与Juniper SSG-5建立IPsec VPN

Phase 2 Proposal 同样要选择自定义,要与M0n0wall的Phase 2协议一致。

M0n0wall与Juniper SSG-5建立IPsec VPN

建立一条策略,允许两端的内外地址互访,走刚才建立好的Tunnel。

M0n0wall与Juniper SSG-5建立IPsec VPN

M0n0wall的设置

建立一个IPsec Tunnel

输入本地的ip网段及远端的IP网段和远端网络地址。

M0n0wall与Juniper SSG-5建立IPsec VPN

选择VPN模式Aggressive

输入我的身边识别号:liusuping.com

选择加密协议,与Juniper设备保持一致。

DH key group非常重要,这个在Juniper的设备中没有设置,这里要选择2

认证模式选择Preshared Key,输入liusuping

M0n0wall与Juniper SSG-5建立IPsec VPN

Phase 2 Proposal 设置,选择与对端juniper设备一致的协议。

DH key group要选择2

M0n0wall与Juniper SSG-5建立IPsec VPN

IPsec Tunnel建立好之后会自动在Rules里建立一条防火墙规则,允许IPsec VPN的通讯。

M0n0wall与Juniper SSG-5建立IPsec VPN

IPsec VPN测试

这样两边的配置都完成了,下面进行一下测试。

由于上海这边的是动态IP,因此VPN的发起要从上海端发起,ping一下北京的内外地址即可。

在M0n0wall的Diagnostics下的IPsec下查看状态,如下图

M0n0wall与Juniper SSG-5建立IPsec VPN

查看juniper日志,可以看到vpn成功建立的过程。

M0n0wall与Juniper SSG-5建立IPsec VPN

在Monitor Status中查看vpn状态

M0n0wall与Juniper SSG-5建立IPsec VPN

 

« 上一篇下一篇 »

评论列表:

1.nice  2011-11-2 11:26:30 回复该留言
很有启发,可否进一步使用证书方式互联?

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。