Netscreen ×××問題彙總

1、千萬不要再說，netscreen做***必定要固定ip 最近測試一個remote方案的，中心點adsl用ns撥出，遠程remote8配合動態域名軟件(推薦華生殼2.0），很是理想。對於ns硬件之間的訪問估計不久ns就會推出新的os以支持用域名來作爲動態網關！！！關於remote+netscreen硬件組成的*** 一、調好ns的ppoe和nat 二、去xicp。net註冊免費帳號和二級域名，並激活域名。三、t下載花生殼2。0（穩定性高不少）四、在本地（ns端）局域網任何一臺電腦上安裝花生殼2。0（最好是常開的服務器） 5，安裝調試remote，在新建鏈接的gateway tunnel選項中選擇 any，六、在gateway hostname下面陷入你在帳號中激活的免費二給域名 7。其餘調試和平時同樣 ---------------------- 2、是否是PC必定要裝remote才能使用WIN自帶的×××撥號軟件與netscreen創建×××？ WINXP或WIN2K與netscreen創建×××鏈接，最簡單的配置方法是什麼？最好能夠不採用證書認證的！！！直接在NETSCREEN和WIN上作配置就能夠解決的。用L2TP就能夠了,挺簡單的,把NS說明書的第四章的L2TP部分好好看一下就能夠作的. 多謝Torry的點撥，我剛Win2000下試成功，不用Netscreen Remote Client軟件也能與Netscreen ××× Server創建×××鏈接。書中可供參考的部分摘錄以下：在ScreenOS端的設置 1、設置L2TP 用戶 1. Objects > Users > Local > New：輸入如下內容，而後單擊OK： User Name: Adam Status: Enable L2TP User: （選擇） User Password: AJbioJ15 Confirm Password: AJbioJ15 2. Objects > Users > Local > New：輸入如下內容，而後單擊OK： User Name: Betty Status: Enable L2TP User: （選擇） User Password: BviPsoJ1 Confirm Password: BviPsoJ1 3. Objects > Users > Local > New：輸入如下內容，而後單擊OK： User Name: Carol Status: Enable L2TP User: （選擇） User Password: Cs10kdD3 Confirm Password: Cs10kdD3 2、設置L2TP 用戶組 4. Objects > User Groups > Local > New：在「Group Name」字段中，鍵入fs，執行如下操做，而後單擊 OK：選擇Adam，而後使用<< 按鈕將它從「Available members」列中移動到「Group members」列中。選擇Betty，而後使用<< 按鈕將它從「Available members」列中移動到「Group members」列中。選擇Carol，而後使用<< 按鈕將它從「Available members」列中移動到「Group members」列中。 3、缺省L2TP 設置 5. Objects > IP Pools > New：輸入如下內容，而後單擊OK： IP Pool Name: global Start IP: 10.10.2.100 End IP: 10.10.2.180 6. ×××s > L2TP > Default Settings：輸入如下內容，而後單擊OK： IP Pool Name: global PPP Authentication: CHAP DNS Primary Server IP: 210.11.6.2 DNS Secondary Server IP: 210.11.40.3 WINS Primary Server IP: 0.0.0.0 WINS Secondary Server IP: 0.0.0.0 4、設置L2TP 通道 7. ×××s > L2TP > Tunnel > New：輸入如下內容，而後單擊OK： Name: sales_corp Dialup Group: Local Dialup Group - fs Authentication Server: Local Outgoing Interface: ethernet3 Peer IP: 0.0.0.0 Host Name (optional):能夠空着。 Secret (optional): 能夠空着。 5、策略 8. Policies > (From: Untrust, To: Trust) New：輸入如下內容，而後單擊OK： Source Address: Address Book: Dial-Up ××× Destination Address： Address Book: Any NAT: Off Service: ANY Action: Tunnel Tunnel L2TP: sales_corp Position at Top:（選擇）在Win2000上建立××× 客戶端鏈接一、雙擊「控制面板\網絡和撥號鏈接\新建鏈接」，而後「下一步」二、「網絡鏈接類型」選擇「經過Internet鏈接到專用網絡」，點「下一步」三、公用網絡，根據本身狀況選擇「不撥初始鏈接」或「自動撥此初始鏈接」，而後「下一步」四、輸入××× SERVER 的域名或IP地址，點「下一步」五、最後給此連接起個名字就完成了這個新連接的建立六、還須要修改一下此連接的屬性，右鍵點此新連接，選擇「屬性」，在「安全措施」那裏選中「高級」七、點「設置」按鈕，在「數據加密」那裏選擇「可選數據加密（沒有加密也能夠鏈接）」，而後「肯定」保存就所有完成了雙擊這個新建立的撥號鏈接，輸入用戶名和密碼進行鏈接。用戶名和密碼就是前面新增用戶時輸入的名字和密碼。但我上述方法在winXP下沒有試成功，由於Winxp中「我正在呼叫的×××服務器類型」選項裏好像沒有單一的L2TP，只有L2TP IPSec。所以再請教一下Torry該怎麼設呢？是否要修改server端的設置？多謝。 nod.樓上的說法基本上都是正確的說，xp確實是使用了與ipsec相結合的方式。緣由偶已經前天在罈子中說過了，今天再說最後一次： pptp，由Microsoft和Cisco合做開發提出，跑在鏈路層，使用Microsoft mppe進行加密。有40位和128位加密之分。 L2TP，須要ISP支持，加密方式採用mppe和ipsec。 ipsec，跑在網絡層，通常須要安裝專用的Client Software。 pptp、l2tp、ipsec是3種風牛馬不相及的DD，沒有任何的聯繫的技術體系構架，只不過它們均可以用來實現遠程訪問的×××罷了！！通過努力，已經試通了在WINXP下的L2TP鏈接針對之前的一些疑問，心得以下，供參考：一、大部分的設置與在w2k下同樣，參看小弟在樓上所貼的相關設置二、Netscreen ××× server端無需更改設置三、在WinXP下，修改註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters,新增或修改ProhibitIpSec的值爲1 四、若是客戶端是在局域網中，需避免與遠程網絡在同一個子網中曾遇到到Fushun兄說的問題，已經開始驗證密碼和身份了，但最終失敗。後來修改本地子網後就沒問題了但願能有幫助 ----------------------- 3、我公司經過netscreen 50作公司防火牆,客戶端安裝netscree remote遠程拔號登錄到公司郵件服務器和文件服務器.可是發現客戶端經過拔號上網的方式接入internet,而後打開netscreen remote經過outlook來收發email沒有問題. 若經過adsl或vdsl拔號接入internet,而後打開netscreen remote 經過outlook來收發email,發現outlook打開後此程序沒有響應,或者outlook打開後公司內部郵箱通信薄沒法找到,客戶端不能收發email. 請各位高手指點,不甚感激. 可能問題有幾種：一、ISP接入提供商有沒有對加密所須要使用的端口和協議進行控制二、修改一下tcp包長的最大值，一般應該設置在1400如下三、機器自身有沒有防火牆或者相關的代理設置謝謝你們支持。一、我修改了netscreen防火牆的tcp包長大小，更改成1200。登錄公司服務器很快，也可從文件服務器取文件，可是打開outlook仍然沒有響應。二、個人測試手提沒有安裝任何防火牆軟件和相關的代理設置。三、如果跟ISP提供商有頭問題，該如何資詢？提出哪此具體要求？四、hosttechnology朋友，你是如何配置的，請賜教。 --------------------- 4、基於路由的×××和基於策略的×××有什麼區別,默認狀況下是用哪種方式的ＶＰＮ，在ＦＩＲＥＷＡＬＬ中怎樣看得出是基於路由的ＶＰＮ仍是基於策略的ＶＰＮ，遠程客戶端（安裝了ns remote client)配置完成後怎樣與ＦＩＲＥＷＡＬＬ創建鏈接，要不要配置ＷＩＮＤＯＷＳ自帶的Ｌ２ＴＰ進行撥號，我測試了一下，配置完客戶端再用Ｌ２ＴＰ撥號客戶端創建了鏈接，但Ｌ２ＴＰ撥不進去，也沒法ＰＩＮＧ通ＦＩＲＷＡＬＬ後面的內網ＩＰ，直接輸入內網ＩＰ訪問也不行．基於策略的×××,是先建好通道,而後在策略中容許×××流量的進入. 基於路由的×××,是先作好TUNNEL接口,並定義路由,把通道綁定到通道接口上,這樣把流量引導至×××通道. REMOTE端配置完成後,只須要經過IPSEC協議就能夠創建×××通道的.