盆盆罐罐

上海邦麦信息科技有限公司旗下子网站;POS系统、计算机技术资料搜集

Juniper NS-5GT防火墙简单配置

文章目录
[隐藏]

此文针对我自己的Juniper-NS5GT-ADSL防火墙,Juniper其他型号防火墙配置方法类似。

防火墙硬件参数

  • 型号:Juniper-NS-5GT-215-A(扩展许可带ADSL口)
  • Current Firmware Version: ScreenOS 6.2.0r17a.0
    Sessions: 4064 sessions
    Capacity: unlimited number of users
    NSRP: Lite
    VPN tunnels: 25 tunnels
    Vsys: None
    Vrouters: 3 virtual routers
    Zones: 8 zones
    VLANs: 10 vlans
    Drp: Enable
    Deep Inspection: Disable
    Deep Inspection Database Expire Date: Disable
    Signature pack: N/A
    IDP: Disable
    AV: Disable(0)
    Anti-Spam: Disable(0)
    Url Filtering: Disable

防火墙默认参数

  • IP地址:192.168.1.1
  • 登陆用户名/密码:netscreen/netscreen

恢复出厂设置

方法一:软方法

用Console线连接访问设备,在用户名和密码处都输入该设备的序列号(在设备背面的标签上有),再输入两次y确认后就可以将设备初始化至出厂状态

方法二:硬方法

找到后面板上的重置孔,使用回形针推压针孔四至六秒然后松开,状态LED闪烁琥珀黄色,等待一至二秒,在第一次重置之后,电源LED闪烁重新变成绿色。设备正等待第二次推压,再次推压重置针孔四至六秒,状 态LED亮琥珀黄色半秒,然后返回到闪烁绿色状态。当设备重置时,状态LED变为琥珀黄色半秒,然后返回到闪烁绿色状态,此时配置已被删除并且设备被重置。设备重启后,即将NetScreen恢复至出厂设置。

设置可远程管理

Network > Interfaces ,将untrust 端口的Manageable 勾选,并将Service Options中的Web UI勾选。由于国内网络服务商一般都封锁了80端口,所以还需要修改默认80的管理端口为其他端口

设置端口映射

这里以设置从外网Web访问内网192.168.0.90计算机的NAS服务器为例(管理端口5000)

第一步:添加端口

Policy > Policy Elements > Services > Custom:点New,输入Name,根据实际情况选择协议类型及源端口和目的端口5000,OK保存

第二步:设置隐射

Network > Interfaces:untrust端口那点Edit -> VIP -> 选中Same as the interface IP address -> Add -> 点右上角的New VIP Service,Virtual Port填写需隐射的端口5000,Map to Service选择刚才添加的端口名,Map to IP填写内网IP地址192.168.0.90,OK保存

第三步:添加一条策略

Policy > Policies:上面选择From Untrust To Global –> go -> New,输入Name,Destination Address选择VIP(或默认的Any),其他默认,OK保存

:这里一定要是在From Untrust To Global 新建Policy,不能是From Untrust To Trust,否则不会有效果

完成

使内网计算机的DNS设成网关地址也能上网

其实就是配置DNS PROXY

第一步: Network > DNS > Proxy,勾选Initialize Proxy DNS Server和Enable Proxy DNS Server,Apply,点击New

第二步:Domain Name输入*,Outgoing Interface选Untrust,输入宽带提供商的主次DNS地址,勾选Failover,点击OK

第三步:Network > DNS > Host,输入刚才一致的DNS地址,Src Interface选Untrust,勾选DNS Refresh,点击Apply

第四步:Network > Interfaces,trust端口那点Edit ,勾选DNS Proxy,点击OK保存

完成

配置L2PT VPN服务器

第一步:添加用于VPN拨号客户端的地址池

以便于所有拨号上来的L2PT客户端能获取到IP地址

Objects > IP Pools -> New

l2pt_ip_pool

第二步:添加用于L2PT拨号的用户

Objects > Users > Local -> New

l2pt_user

第三步:设置L2PT Tunel的默认值以及建一条L2PT Tunel

VPNs > L2TP > Default Settings

l2pt_default_setting

VPNs > L2TP > Tunnel -> New。因为是从外面拨号到L2PT服务器,Outgoing Interface这里选Untrust

l2pt_tunel

第四步:添加相应的策略

Policy > Policies ,上面选择From Untrust To Trust –> go -> New

Source Address选Dial-Up VPN;Destination Address选Any,这样拨号客户端既可以访问外部网络也可以访问本地网络,如果只允许访问本地网络,则Policy > Policy Elements > Addresses > List -> New,针对Trust区域新建一个List,和之前建立的IP Pool同网段(IP Address/Netmask为192.168.90.0/24),Destination Address选新建的List即可

l2pt_tunel_policy

L2PT服务器配置完成

客户端L2PT拨号连接设置

Windows系统里新建VPN拨号连接,VPN类型选L2PT IPSec VPN,不要选自动,否则拨号速度慢也容易拨不上去

Windows 2000、2003、7、8等,直接建立VPN拨号连接即可,Windows XP和Windows 10需要修改VPN拨号连接参数

Windows XP VPN客户端设置

Windows XP直接拨号会提示789错误

错误信息:错误789:l2tp 连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到一个处理错误

解决方法:定位到HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters,新建DWORD值,名称使用ProhibitIpSec,数值数据1,确定后重新启动计算机生效

Windows 10 VPN客户端设置

“身份验证”里需要勾选“质询握手身份验证协议(CHAP)”和“Microsoft CHAP Versin 2 (MS-CHAP v2)”这两项

参考链接

分类:Network

标签:, , , ,

已有 2 人 对 ”Juniper NS-5GT防火墙简单配置” 进行了评论

  1. 路易大叔说道:

    你的研究很广泛啊

    [Reply]

    小喜 Reply:

    广但是很泛,不深入,就是拿来玩玩的

    [Reply]

对本文发表评论





1 + 3 = ?

注意:
1、请勿单纯发表顶啊、打酱油之类无任何意义的评论,否则将被视为spam!谢谢合作!
2、但欢迎你留下对本文的看法或技术上的任何疑问,我会及时回复你。