Juniper NS-5GT 防火墙简单配置

   Updated: 2016-10-21 13:42       Juniper NS-5GT 防火墙简单配置有2条评论

此文针对我自己的 Juniper-NS5GT-ADSL 防火墙,Juniper 其他型号防火墙配置方法类似。

防火墙硬件参数

  • 型号:Juniper-NS-5GT-215-A(扩展许可带 ADSL 口)
  • Current Firmware Version: ScreenOS 6.2.0r17a.0
    Sessions: 4064 sessions
    Capacity: unlimited number of users
    NSRP: Lite
    VPN tunnels: 25 tunnels
    Vsys: None
    Vrouters: 3 virtual routers
    Zones: 8 zones
    VLANs: 10 vlans
    Drp: Enable
    Deep Inspection: Disable
    Deep Inspection Database Expire Date: Disable
    Signature pack: N/A
    IDP: Disable
    AV: Disable(0)
    Anti-Spam: Disable(0)
    Url Filtering: Disable

防火墙默认参数

  • IP 地址:192.168.1.1
  • 登陆用户名/密码:netscreen/netscreen

恢复出厂设置

方法一:软方法

用 Console 线连接访问设备,在用户名和密码处都输入该设备的序列号(在设备背面的标签上有),再输入两次 y 确认后就可以将设备初始化至出厂状态

方法二:硬方法

找到后面板上的重置孔,使用回形针推压针孔四至六秒然后松开,状态 LED 闪烁琥珀黄色,等待一至二秒,在第一次重置之后,电源 LED 闪烁重新变成绿色。设备正等待第二次推压,再次推压重置针孔四至六秒,状 态 LED 亮琥珀黄色半秒,然后返回到闪烁绿色状态。当设备重置时,状态 LED 变为琥珀黄色半秒,然后返回到闪烁绿色状态,此时配置已被删除并且设备被重置。设备重启后,即将 NetScreen 恢复至出厂设置。

设置可远程管理

Network > Interfaces ,将 untrust 端口的 Manageable 勾选,并将 Service Options 中的 Web UI 勾选。由于国内网络服务商一般都封锁了 80 端口,所以还需要修改默认 80 的管理端口为其他端口

设置端口映射

这里以设置从外网 Web 访问内网 192.168.0.90 计算机的 NAS 服务器为例(管理端口 5000)

第一步:添加端口

Policy > Policy Elements > Services > Custom:点 New,输入 Name,根据实际情况选择协议类型及源端口和目的端口 5000,OK 保存

第二步:设置隐射

Network > Interfaces:untrust 端口那点 Edit -> VIP -> 选中 Same as the interface IP address -> Add -> 点右上角的 New VIP Service,Virtual Port 填写需隐射的端口 5000,Map to Service 选择刚才添加的端口名,Map to IP 填写内网 IP 地址 192.168.0.90,OK 保存

第三步:添加一条策略

Policy > Policies:上面选择 From Untrust To Global -> go -> New,输入 Name,Destination Address 选择 VIP(或默认的 Any),其他默认,OK 保存

:这里一定要是在 From Untrust To Global 新建 Policy,不能是 From Untrust To Trust,否则不会有效果

完成

使内网计算机的 DNS 设成网关地址也能上网

其实就是配置 DNS PROXY

第一步: Network > DNS > Proxy,勾选 Initialize Proxy DNS Server 和 Enable Proxy DNS Server,Apply,点击 New

第二步:Domain Name 输入*,Outgoing Interface 选 Untrust,输入宽带提供商的主次 DNS 地址,勾选 Failover,点击 OK

第三步:Network > DNS > Host,输入刚才一致的 DNS 地址,Src Interface 选 Untrust,勾选 DNS Refresh,点击 Apply

第四步:Network > Interfaces,trust 端口那点 Edit ,勾选 DNS Proxy,点击 OK 保存

完成

配置 L2PT VPN 服务器

第一步:添加用于 VPN 拨号客户端的地址池

以便于所有拨号上来的 L2PT 客户端能获取到 IP 地址

Objects > IP Pools -> New

l2pt_ip_pool

第二步:添加用于 L2PT 拨号的用户

Objects > Users > Local -> New

l2pt_user

第三步:设置 L2PT Tunel 的默认值以及建一条 L2PT Tunel

VPNs > L2TP > Default Settings

l2pt_default_setting

VPNs > L2TP > Tunnel -> New。因为是从外面拨号到 L2PT 服务器,Outgoing Interface 这里选 Untrust

l2pt_tunel

第四步:添加相应的策略

Policy > Policies ,上面选择 From Untrust To Trust -> go -> New

Source Address 选 Dial-Up VPN;Destination Address 选 Any,这样拨号客户端既可以访问外部网络也可以访问本地网络,如果只允许访问本地网络,则 Policy > Policy Elements > Addresses > List -> New,针对 Trust 区域新建一个 List,和之前建立的 IP Pool 同网段(IP Address/Netmask 为 192.168.90.0/24),Destination Address 选新建的 List 即可

l2pt_tunel_policy

L2PT 服务器配置完成

客户端 L2PT 拨号连接设置

Windows 系统里新建 VPN 拨号连接,VPN 类型选 L2PT IPSec VPN,不要选自动,否则拨号速度慢也容易拨不上去

Windows 2000、2003、7、8 等,直接建立 VPN 拨号连接即可,Windows XP 和 Windows 10 需要修改 VPN 拨号连接参数

Windows XP VPN 客户端设置

Windows XP 直接拨号会提示 789 错误

错误信息:错误 789:l2tp 连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到一个处理错误

解决方法:定位到 HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters,新建 DWORD 值,名称使用 ProhibitIpSec,数值数据 1,确定后重新启动计算机生效

Windows 10 VPN 客户端设置

「身份验证」 里需要勾选 「质询握手身份验证协议 (CHAP)」 和 「Microsoft CHAP Versin 2 (MS-CHAP v2)」 这两项

参考链接

2 comments on “Juniper NS-5GT 防火墙简单配置

回复 路易大叔 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注