最近一直在研究netscreen防火墙的×××应用,公司有住外办事处的同事需要访问公司内部网络,准备搭建一个×××环境支持各种远程服务。
写这篇博文给出我所参考的网络文献以及在此过程中遇到的一些问题
我所参考的第一篇文章是关于l2tp over ipsec配置文章,原链接http://ltyluck.blog.51cto.com/170459/212914  文章写的很详细并配有图示
这次测试遇到的问题:
IKE negotiations完成,拔号过程也很顺利,但拔号客户端无法ping 通公司内网主机。
我在网上搜索发现这个问题可能是出在路由或者IP POOL分配的IP地址上,我一直把注意力放在路由问题上,因为我之前已经注意到IP POOL不能和客户端的IP地址在一个网段,但没想到的是果然是网段的问题,客户端使用路由器通过ADSL上网,内部网络使用NAT ,分配的IP地址是192.168.10.X ,我给IP POOL分配的地址池是192.168.33.X~XX ,我本以为这样就不算一个网段了,在我修改了N次路由配置后试着把地址池的IP改为10.0.0.X后,居然能ping通了,没搞明白难道把33和10看成一个网段?
还有NAT Traversal,L2TP over IPsec是不支持nat穿越的,像我的情况在拔号客户端和防火墙之间有NAT设备的话是需要开启NAT Traversal否则IKE协商没问题,但还是连接不上,NAT Traversal具体配置是
    WebUI    
           ×××s > AutoKey Advanced > Gateway> Advanced
                Enable NAT-Traversal: (select)
                UDP Checksum: Enable
    CLI
          set ike gateway name nat-traversal udp-checksum
          unset ike gateway name nat-traversal udp-checksum
 
但最后我没有选择L2TP over IPsec,因为在客户端的布暑上稍显麻烦,即要导入netscreen remote client的配置,又要新建拔号链接并且对其进行配置,还要修改注册表,而且还不支持NAT穿越,甚至在你拔号后外部网络也无法访问了还必须修改本地路由配置,参考http://k968888.blog.sohu.com/80714938.html修改本地路由,最后我选择的是xauth+share IKE ID 具体的配置请参考juniper官方文档 http://www.juniper.net/techpubs/software/screenos/screenos5.4.0/index.html
在×××s chapter 5 >share IKE ID 有详细的介绍,当然官方的配置稍显麻烦,可以参考
http://k968888.blog.sohu.com/81627153.html 中的配置,省略一些配置步骤。Xauth支持NAT穿越,并且不用修改路由就能访问Internet。
在这次测试中遇到的问题恰恰与L2TP over IPsec相反,客户端相同的配置,地址池依然使用10.0.0.X 登录,把地址池修改为192.168.X.X网段后连接成功。
在出现登录对话框让输入用户名密码时,出现乱码并且输入正确的用户名密码也无法登录,解决办法:
   ×××s > AutoKey Advanced > Gateway > Xauth
       XAuth Server  (Generic )
问题不会只有一个,总会有这样那样的问题,在我远程给一位2000操作系统的用户安装netscreen-remote client时,在导入配置文件后,connet...无法显示导入的配置文件,也就无法拔号,在我把鼠标移向remote图标时显示driver not installed,这个问题依然没有解决,想装个2000操作系统本地实验一下,如果有哪位朋友遇到过这个问题请给出答案谢谢!
以上就是×××布署前测试的时遇到的一些问题和解决办法,juniper官方有非常详细的文档再配合网上的一些配置文章虽然测试中遇到很多问题,但整个过程还算顺利了。