Chinaunix首页 | 论坛 | 博客
  • 博客访问: 53046
  • 博文数量: 10
  • 博客积分: 2257
  • 博客等级: 大尉
  • 技术积分: 105
  • 用 户 组: 普通用户
  • 注册时间: 2008-08-28 16:27
文章分类

全部博文(10)

文章存档

2011年(1)

2010年(1)

2009年(1)

2008年(7)

分类: 系统运维

2008-08-29 09:10:56

最新总结

CODE:
POLICY里的设置表示允许VPN客户端访问哪个网段
PC的软件中设置的subnet表示拨号后连入的是哪个网段.

这两个是相互作用的, 所以必须一致才能OK

另外到各个网段的路由,是需要之前在FW里面加好的.

外地PC使用netscreen-remote拨入公司内部.
发现问题:

CODE:
1.只能访问TRUST口网段范围的地址
2.不能访问trust区其他网段

电话打了很多,联强的别的代理的,  顺便说下北京的联强工程师很垃圾,不想解决,只想把问题推到别的地方,垃圾啊. 上海的还不错.


说下配置

CODE:
出了基本的大众化配置之外,客户端需要设定subnet和mask.
juniper设备需要设定untrust-trust的policy,允许diap-up vpnd到一个网段的访问.

注意,这里客户端的网段掩码要和policy的网段掩码一样,否则拨号是有问题的.



CODE:
trust口网段是 192.168.128.0/20  trust另外通过路由器接了一个192.168.144.0/20的网段. 由路由器联通网络.
vpn客户端设置192.168.128.0/20网段时,拨号后只能访问192.168.128.0/20.  访问144网段时候, 根本不会通过FW的路由来转到路由器,所以就无法访问到.

这里我发现一个问题,不是FW不做路由转发,而是POLICY没有,导致不让访问144网段.  
那么单独加上untrust--trust的  diap-up vpn到144网段的允许呢?  不行啊,这样拨号就建立不了了.

那么我做了这样的尝试,  客户端和FW的policy上 把网段改成 192.168.0.0/16后,拨号就成功了.
然后ping了下,各个网段都通了.



CODE:
pc 使用128/20  FW 使用128/20    可以成功拨号  只能PING 通128/20网段
pc 使用128/20  FW 使用192.168.0.0/16    可以成功拨号  不能PING任何
pc 使用128/20  FW 使用128/24    不可以成功拨号

所以当FW上policy上网段范围比pc上大时,是可以正常拨号,但是无法联通.
PC端设置的内网地址,表示拨号后接入的网段.

看着简单啊, 文档上一点没提到. 技术支持每人说一个方案,乱啊 . 有人说ipsec不支持跨网段,有人说要使用Xaurth.


这年头靠自己,我继续做测试.

[ 本帖最后由 very_99 于 2008-8-27 18:44 编辑 ]
阅读(2347) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~