1、如需要登录radius 服务器 验证,则windows Internet验证服务器  远程 策略里的
配置VSA(符合RFC)属性的值 要是大写
 
2、第一条值的名字 要和防火墙里 XAuth Server验证里的External Authentication的User Group组名相同
 
3、通过增加local user  和对应的AutoKey IKE 、gateway  、POLICY 可以控制不同AD用户及组的***访问权限
 
 
4、WIN7下 只能用Shrew Soft *** Client ,要设置IP POOL,否则会不成功,这点和NetScreen-Remote_***_Client有区别
 
 
在win7客户端菜单里打开ShrewSoft *** Client--Access Manager,点击add图标
添加一个新的***配置文件。
A. General选项:
Shrew
在输入你的***公网IP,Auto Configuration选择 ike config push,别的默认值。
B.Client选项,使用默认值就可以了。
Shrew
C.Name Resolution选项,可以去掉所有的勾,这个根据自己实际情况,一般公司可能不需要***用户使用公司DNS等,我这里是全部取消的。
Shrew
D.Authentication选项,这个是最重要的。
我防火墙是配置的共享 IKE ID (IKE+XAuth)***,即一个Preshared Key加上xauth认证。
Shrew
请看仔细local Identity配置,Remote Identity,选择id type为Any(因为我防火墙上没有配置该可选项),Credentials在最下面的Pre Shared Key输入前面自己设置的共享key(8位及以上)。
E.Phase1选项
Shrew
F.Phase2选项
Shrew
G.Policy选项
Shrew
这个根据你的该账户对应的防火墙policy设置来,由于这个是给IT使用的,在防火墙设置上的policy设置里是让IT人员能访问内网10.10.的网段和192.168.25.网段。那么在客户端软件上也要对应添加上这2个网段才可以。