超详细，工业路由器与Juniper Netscreen防火墙构建IPsecVPN指

您现在所在位置：首页 > 养老信息化 > 超详细，工业路由器与Juniper Netscreen防火墙构建IPsecVPN指

超详细，工业路由器与Juniper Netscreen防火墙构建IPsecVPN指

2023/7/11 4:31:25 ('互联网')

1.网络拓扑

工业4G路由器ORC305使用SIM卡拨号上网，获取运营商提供的专网IP地址。

右边是安装在公司数据中心的juniperNetscreenFirewall，通过公司专线接入Internet，使用公网IP。

展开全文

防火墙的WAN接口（Untrust接口）连接Internet和LAN（Trust接口为公司内网）。4GLTE无线路由器和JuniperNetscreenFirewall实现IPSecVPN，使公司局域网可以访问ORC305工业无线路由器的LAN口设备。

2.JuniperNetscreen防火墙配置指南

1、NetScreen配置，如图：

在NetScreen防火墙端口的初始配置中（这里以SSG5系列为例），Bgroup0在trust区，连接到ethernet0/2-6，Bgroup1-3在Null区域。

ethernet0/0端口在Untrust区域中。

ethernet0/1在DMZ区，Serial0/0在Null区，vlan1在Null区。在安装WAN口之前，可以先规划一下接口。这里我们将ethernet0/0设置为Untrust区的WAN口。

在Bgoup0中将ethernet0/1设置为LAN端口。

WEBUI网络>接口(列表)

WEBUI区域名称：Null（只有Null区域的连接才能连接到Bgroup）

WEBUI网络>接口(列表)fWEBUINetwork>Interfaces>Edit>BindingPortstoCurrentBgroupEthernet0/2:(view)Ethernet0/3:(view)Ethernet0/4:(view)Ethernet0/5:(view)Ethernet0/6:(None)现在E0/1-6成为LAN口1.1配置WAN口1.1.1静态IP地址方式下图中ethernet0/0的IP为172.0.0.254/24，这是设备默认的出厂值。

如果运营商给线路分配的IP地址为125.69.128.0/24，则需要将WAN接口的地址修改为该IP地址。

WEBUI网络>接口(列表)

WEBUINetwork>Interfaces>EditStaticIPIPAddress/Netmask:125.69.128.108/24（中心固定IP地址）1.1.2PPPoE模式

WEBUI网络>接口(列表)

域名：UntrustGetIPusingPPPoE:Createanewpppoesetting

NetworkWEBUI>PPPoE>EditEnable:(勾选)ConnecttoInterface:ethernet0/0Username:(fullpppoeaccount)Password:(fullpppoepassword)Authentication:available(包括CHAPPAP两种认证方式)现在Ethernet0/0已经设置作为pppoe的WAN口。

检查pppoe状态

确认后，你会看到状态栏会变成连接到WEBUI>PPPoE(List)网络。

回到WEBUINetwork>Interfaces(List)如图，你会看到ethernet0/0的pppoe一栏出现绿色，表示拨号成功。

IP/Network栏会显示pppoe分配的ip地址和掩码。如果您看到红色，则表示呼叫失败。如果点击它，系统将重新启动呼叫过程。如果还是不行，检查线路或配置是否有问题。

1.1.3DHCP动态模式WEBUI网络>接口(列表)

WEBUINetwork>Interfaces>EditObtainIPusingDHCP：选择并点击ok，30秒内获取IP地址。

2、LAN口配置，如图：

WEBUI网络>接口(列表)>编辑

Properties:BasicDomainName:TrustStaticIP:IPAddress/Netmask172.0.0.1/24Configurable(view)InterfaceMode:NAT这里检查有问题，我们把Bgroup0的地址从192.168.1.1/24改成essential在地址(172.0.0.1/24)之后。

由于DHCP中不会自动创建该接口的地址池配置，因此无法通过WEB界面继续SSG5配置。您需要为自己的主机设置一个地址。比如172.0.0.33/24。

然后在WEB界面输入172.0.0.1继续配置SSG5。

WEBUI网络>DHCP(列表)

WEBUINetwork>DHCP>DHCPServerAddressEditDynamic:StartIPAddress:172.0.0.2(网段起始地址)EndIPAddress:172.0.0.254(网段最后一个地址)现在禁用手动配置的ip地址在未来，IP地址可以通过DHCP自动获取。

Tunnel接口配置，如图：

WEBUI网络>接口(列表)>新建

UnnumberedWEBUI：选择Interface：ethernet0/0（trust-vr）创建隧道接口，并将该接口连接到WAN口。

发送ipsec数据时使用。1.4配置策略在正常的系统条件下，我们有一个策略，将Trust区域中的所有条目重新加权到Untrust区域中的所有条目。

在VPN环境中，我们要保证优先区域发起的流量能够连通，所以需要在Untrust到Trust区域添加策略。WEBUI政策>Enganga政策>地址>列表

WEBUIpolicy>policyelements>Addresses>Configurationaddressname:1LANremote(createanameforthelistofremote1)IPaddress/Netmask(掩码):192.168.2.0/24(peeraddress1LAN)Zone:Untrust(流量来自remoteend1进入tunnel端口，处于Untrust区域）

WEBUI政策>Enganga政策>地址>列表

Policy>policyelements>Address>ConfigurationAddressName:LocalLAN(为本地局域网访问设置名称)IPAddress/Netmask(mask):172.0.0.0/24(本地局域网覆盖的地址)Zone:Trust(Local局域网应该属于信任区）

WEBUIPolicy>Policy（从不信任）从：不信任（选择）到：信任（选择）

WEBUIPolicy>Policy(FromUntrustToTrust)SourceAddress:HostAddressBook:Remote1LAN（之前为remote1访问创建的列表，因为trust来自Untrust，所以这是source）DestinationAddress:AddressBookEntity:LocalLAN(localLANlistname)单击确定，配置从Untrust到Trust的策略。

这样就可以让双方局域网的两端通信顺畅。

3.ORC305路由器仿真指南

1.将SIM卡插入路由器的SIM卡槽

2.打开设备，进入路由器的网页（默认为192.168.2.1）

3.进入网络→界面→链路备份界面启用对应SIM卡并增加链路优先级，保存配置

4、对应SIM卡通话成功，当前链接变绿

5.进入网络→VPN→IPsec界面配置路由器（IPsecVPN客户端）

保存并应用配置后，您可以访问Status→VPN页面并检查IPsecVPN状态是否已连接