juniper防火墙IPSec vpn经验分享

鹤翔天空

大家好：
好久没来发帖了，工作快1点了，随着公司老员工一个个离职，我逐步开始单独处理一些网络项目。昨天下午接到领导通知，前往XXX产权交易中心，配置vpn，与XXX海关链接ipsec，大家知道vpn的配置不是一方面可以搞定的，需要两端测试。压力有点大，对于vpn我一直不是特别懂。两端用的是juniper防火墙。

来到机房，首先了解了XXX产权交易中心的电信地址与网关。以及tunnel地址，两端加密算法极其密码。开始配置，第一阶段地址规划，根据要求：
1、地址列表定义，Untrust：192.168.0.0/16(对端的trust)，trust：为分配地址的第一个可用地址：此处分配：192.168.99.0/28 第一个地址192.168.99.1/28.
2、建立tunnel、zone Untrust、fixed IP选中，填入分配的tunnel地址：1.0.1.73/30  。
3、 建立vpn第一阶段。
       统一Gateway名称：vpn to customs p1
       选择Remote Gateway :此处我填写了对端防火墙的Untrust端口地址
       preshared key :按文件规定
       parese 1 proposal :按文件规定
4、第二阶段： vpn to customs p2
     统一gateway：选择第一段建立vpn to customs p1
     prase 2 proposal ：按文件规定
    bind to 选定tunnel
5、路由配置最难。对于vpn概念的模糊，要写两条：一条是0.0.0.0/0 到本端的电信网关。还有一条是192.168.0.0/16(对端的内网地址)接口选择tunnel。
6、配置策略。
vpn通了。但是问题随之来了
对端的内网是192.168.0.0/16，结果和自己内网冲突了，唉，最后只可以在服务器在服务器上重新起个网卡，直连防火墙，项目做的并不顺利，也知道了自己对vpn的一知半解是不行的，忙好都已经是10点半了，晚上一个回家的路上，想了好久，第一次搞vpn最痛苦。


该贴已经同步到 鹤翔天空的微博

紫川凌

沙发~

zhuyiming

一般IPSEC 内网网段一样，都是在两端把SNAT 和 DNAT做下，就可以解决了！

zhangaxyoyo

我只能是板凳咯

明天¤晴天℃

真的好久没有见到楼主了诶 呵呵 欢迎欢迎回来

鹤翔天空

明天¤晴天℃ 发表于 2012-8-13 14:52
真的好久没有见到楼主了诶 呵呵 欢迎欢迎回来

现在成长阶段。。。忙碌的很，都没空上论坛

明天¤晴天℃

zhuyiming 发表于 2012-8-10 12:38
一般IPSEC 内网网段一样，都是在两端把SNAT 和 DNAT做下，就可以解决了！

你一直都在潜水噢

lily

又添加经验了啊

bookpig

这么好 经验分享居然才发现。
支持楼主。
经常回来啊。

aimee珍