Netscreen ×××问题汇总

1、千万不要再说，netscreen做***必定要固定ip 最近测试一个remote方案的，中心点adsl用ns拨出，远程remote8配合动态域名软件(推荐华生壳2.0），很是理想。对于ns硬件之间的访问估计不久ns就会推出新的os以支持用域名来作为动态网关！！！关于remote+netscreen硬件组成的*** 一、调好ns的ppoe和nat 二、去xicp。net注册免费帐号和二级域名，并激活域名。三、t下载花生壳2。0（稳定性高不少）四、在本地（ns端）局域网任何一台电脑上安装花生壳2。0（最好是常开的服务器） 5，安装调试remote，在新建链接的gateway tunnel选项中选择 any，六、在gateway hostname下面陷入你在帐号中激活的免费二给域名 7。其余调试和平时同样 ---------------------- 2、是否是PC必定要装remote才能使用WIN自带的×××拨号软件与netscreen创建×××？ WINXP或WIN2K与netscreen创建×××链接，最简单的配置方法是什么？最好能够不采用证书认证的！！！直接在NETSCREEN和WIN上作配置就能够解决的。用L2TP就能够了,挺简单的,把NS说明书的第四章的L2TP部分好好看一下就能够作的. 多谢Torry的点拨，我刚Win2000下试成功，不用Netscreen Remote Client软件也能与Netscreen ××× Server创建×××链接。书中可供参考的部分摘录以下：在ScreenOS端的设置 1、设置L2TP 用户 1. Objects > Users > Local > New：输入如下内容，而后单击OK： User Name: Adam Status: Enable L2TP User: （选择） User Password: AJbioJ15 Confirm Password: AJbioJ15 2. Objects > Users > Local > New：输入如下内容，而后单击OK： User Name: Betty Status: Enable L2TP User: （选择） User Password: BviPsoJ1 Confirm Password: BviPsoJ1 3. Objects > Users > Local > New：输入如下内容，而后单击OK： User Name: Carol Status: Enable L2TP User: （选择） User Password: Cs10kdD3 Confirm Password: Cs10kdD3 2、设置L2TP 用户组 4. Objects > User Groups > Local > New：在“Group Name”字段中，键入fs，执行如下操做，而后单击 OK：选择Adam，而后使用<< 按钮将它从“Available members”列中移动到 “Group members”列中。选择Betty，而后使用<< 按钮将它从“Available members”列中移动到 “Group members”列中。选择Carol，而后使用<< 按钮将它从“Available members”列中移动到 “Group members”列中。 3、缺省L2TP 设置 5. Objects > IP Pools > New：输入如下内容，而后单击OK： IP Pool Name: global Start IP: 10.10.2.100 End IP: 10.10.2.180 6. ×××s > L2TP > Default Settings：输入如下内容，而后单击OK： IP Pool Name: global PPP Authentication: CHAP DNS Primary Server IP: 210.11.6.2 DNS Secondary Server IP: 210.11.40.3 WINS Primary Server IP: 0.0.0.0 WINS Secondary Server IP: 0.0.0.0 4、设置L2TP 通道 7. ×××s > L2TP > Tunnel > New：输入如下内容，而后单击OK： Name: sales_corp Dialup Group: Local Dialup Group - fs Authentication Server: Local Outgoing Interface: ethernet3 Peer IP: 0.0.0.0 Host Name (optional):能够空着。 Secret (optional): 能够空着。 5、策略 8. Policies > (From: Untrust, To: Trust) New：输入如下内容，而后单击OK： Source Address: Address Book: Dial-Up ××× Destination Address： Address Book: Any NAT: Off Service: ANY Action: Tunnel Tunnel L2TP: sales_corp Position at Top:（选择）在Win2000上建立××× 客户端链接一、双击“控制面板\网络和拨号链接\新建链接”，而后“下一步” 二、“网络链接类型”选择“经过Internet链接到专用网络”，点“下一步” 三、公用网络，根据本身状况选择“不拨初始链接”或“自动拨此初始链接”，而后“下一步” 四、输入××× SERVER 的域名或IP地址，点“下一步” 五、最后给此连接起个名字就完成了这个新连接的建立六、还须要修改一下此连接的属性，右键点此新连接，选择“属性”，在“安全措施”那里选中“高级” 七、点“设置”按钮，在“数据加密”那里选择“可选数据加密（没有加密也能够链接）”，而后“肯定”保存就所有完成了双击这个新建立的拨号链接，输入用户名和密码进行链接。用户名和密码就是前面新增用户时输入的名字和密码。但我上述方法在winXP下没有试成功，由于Winxp中“我正在呼叫的×××服务器类型”选项里好像没有单一的L2TP，只有L2TP IPSec。所以再请教一下Torry该怎么设呢？是否要修改server端的设置？多谢。 nod.楼上的说法基本上都是正确的说，xp确实是使用了与ipsec相结合的方式。缘由偶已经前天在坛子中说过了，今天再说最后一次： pptp，由Microsoft和Cisco合做开发提出，跑在链路层，使用Microsoft mppe进行加密。有40位和128位加密之分。 L2TP，须要ISP支持，加密方式采用mppe和ipsec。 ipsec，跑在网络层，通常须要安装专用的Client Software。 pptp、l2tp、ipsec是3种风牛马不相及的DD，没有任何的联系的技术体系构架，只不过它们均可以用来实现远程访问的×××罢了！！通过努力，已经试通了在WINXP下的L2TP链接针对之前的一些疑问，心得以下，供参考：一、大部分的设置与在w2k下同样，参看小弟在楼上所贴的相关设置二、Netscreen ××× server端无需更改设置三、在WinXP下，修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters,新增或修改ProhibitIpSec的值为1 四、若是客户端是在局域网中，需避免与远程网络在同一个子网中曾遇到到Fushun兄说的问题，已经开始验证密码和身份了，但最终失败。后来修改本地子网后就没问题了但愿能有帮助 ----------------------- 3、我公司经过netscreen 50作公司防火墙,客户端安装netscree remote远程拔号登录到公司邮件服务器和文件服务器.可是发现客户端经过拔号上网的方式接入internet,而后打开netscreen remote经过outlook来收发email没有问题. 若经过adsl或vdsl拔号接入internet,而后打开netscreen remote 经过outlook来收发email,发现outlook打开后此程序没有响应,或者outlook打开后公司内部邮箱通信薄没法找到,客户端不能收发email. 请各位高手指点,不甚感激. 可能问题有几种：一、ISP接入提供商有没有对加密所须要使用的端口和协议进行控制二、修改一下tcp包长的最大值，一般应该设置在1400如下三、机器自身有没有防火墙或者相关的代理设置谢谢你们支持。一、我修改了netscreen防火墙的tcp包长大小，更改成1200。登录公司服务器很快，也可从文件服务器取文件，可是打开outlook仍然没有响应。二、个人测试手提没有安装任何防火墙软件和相关的代理设置。三、如果跟ISP提供商有头问题，该如何资询？提出哪此具体要求？四、hosttechnology朋友，你是如何配置的，请赐教。 --------------------- 4、基于路由的×××和基于策略的×××有什么区别,默认状况下是用哪种方式的ＶＰＮ，在ＦＩＲＥＷＡＬＬ中怎样看得出是基于路由的ＶＰＮ仍是基于策略的ＶＰＮ，远程客户端（安装了ns remote client)配置完成后怎样与ＦＩＲＥＷＡＬＬ创建链接，要不要配置ＷＩＮＤＯＷＳ自带的Ｌ２ＴＰ进行拨号，我测试了一下，配置完客户端再用Ｌ２ＴＰ拨号客户端创建了链接，但Ｌ２ＴＰ拨不进去，也没法ＰＩＮＧ通ＦＩＲＷＡＬＬ后面的内网ＩＰ，直接输入内网ＩＰ访问也不行．基于策略的×××,是先建好通道,而后在策略中容许×××流量的进入. 基于路由的×××,是先作好TUNNEL接口,并定义路由,把通道绑定到通道接口上,这样把流量引导至×××通道. REMOTE端配置完成后,只须要经过IPSEC协议就能够创建×××通道的.