本文范例为主模式VPN连接,如果客户端只有动态IP,需要做相应的修改,使用野蛮模式(Aggressive Mode)
Vigor路由器端设定:
1. 从 Vigor web 设定主画面点选 VPN 与远程访问 >> LAN to LAN。
2. 点选"索引编号1" 进去之后,设定画面如下:
a. 输入"设定档名称"。
b. 勾选 "启用此设定档" 来启用此设定。
c. 点选 "拨出" 或 "拨入" ( 此范例 Vigor 当 拨出 端,若 Vigor 当 拨入 端请跳到第 3 项 拨入设定 )。
d. 选择“一直在线”,Vigor会自动触发拨号。
e. 选择 IPSec 通道。
f. 输入Juniper的 Vigor WAN IP 地址或域名地址。
g. 输入IKE 预共享密钥 ( key 要跟 Juniper 端的预先共享密钥 一样)。
h. 选择认证和数据加密的方法( 这边选的是 ESP, DES, 这个也要跟 Juniper 端 phase 2 的 proposal 一样)。
i. 点选 IPSec 安全模式 - "高级设定"(如后图) ,选择 主模式(Main mode) 及提议 (要跟 Juniper 端的phase 1, phase2 proposal 对应)。
j. 输入Juniper 内部远程 IP 地址及屏蔽。
k. 按 确定,即完成 Vigor 设定。
高级设定选择安全提议。
设置完成后,如果服务器端做好相应设定,VPN会自动连线。
服务器端(Juniper)设定
1. 点选 Network -> Interface 确定 NS 的 trust network 和 WAN IP(untrust)
NS LAN:192.168.10.0/24
NS WAN:61.23.38.10
2. 点选 List 新增 Trust network 192.168.10.0/24 。
3. 点选 List 新增 Untrust ( Vigor ) network 192.168.29.0/24
4. 点选 VPNs -> Gateway
输入 Gateway Name
设定 Vigor 的 WAN IP 220.130.52.213,输入 Preshare key
点选 Advanced
选择 phase 1 proposal 及点选 Main mode 。
5. 点选 VPNs -> AutoKey IKE 。
Remote Gateway,请引用第 4 个步骤设的 profile VigorGW
点选 Advance
6. 点选 Policies
选择 From Trust to Untrust,点选 NEW 新增一个 Policy 。
Source Address 引用步骤 2 Turst NS network 的 profile 。
Destination Address 引用步骤3 Unturst Vigor network的profile, Vigor LAN
Action:Tunnel
Tunnel:引用步骤 5 AutoKey IKE 的 profile
勾选 Modify matching bidirectional VPN policy
按 OK 即完成 Juniper端设定。