POLICY里的设置表示允许VPN客户端访问哪个网段
PC的软件中设置的subnet表示拨号后连入的是哪个网段.
这两个是相互作用的, 所以必须一致才能OK
另外到各个网段的路由,是需要之前在FW里面加好的.
外地PC使用netscreen-remote拨入公司内部.
1.只能访问TRUST口网段范围的地址
2.不能访问trust区其他网段
电话打了很多,联强的别的代理的, 顺便说下北京的联强工程师很垃圾,不想解决,只想把问题推到别的地方,垃圾啊. 上海的还不错.
出了基本的大众化配置之外,客户端需要设定subnet和mask.
juniper设备需要设定untrust-trust的policy,允许diap-up vpnd到一个网段的访问.
注意,这里客户端的网段掩码要和policy的网段掩码一样,否则拨号是有问题的.
trust口网段是 192.168.128.0/20 trust另外通过路由器接了一个192.168.144.0/20的网段. 由路由器联通网络.
vpn客户端设置192.168.128.0/20网段时,拨号后只能访问192.168.128.0/20. 访问144网段时候, 根本不会通过FW的路由来转到路由器,所以就无法访问到.
这里我发现一个问题,不是FW不做路由转发,而是POLICY没有,导致不让访问144网段.
那么单独加上untrust--trust的 diap-up vpn到144网段的允许呢? 不行啊,这样拨号就建立不了了.
那么我做了这样的尝试, 客户端和FW的policy上 把网段改成 192.168.0.0/16后,拨号就成功了.
然后ping了下,各个网段都通了.
pc 使用128/20 FW 使用128/20 可以成功拨号 只能PING 通128/20网段
pc 使用128/20 FW 使用192.168.0.0/16 可以成功拨号 不能PING任何
pc 使用128/20 FW 使用128/24 不可以成功拨号
所以当FW上policy上网段范围比pc上大时,是可以正常拨号,但是无法联通.
PC端设置的内网地址,表示拨号后接入的网段.
看着简单啊, 文档上一点没提到. 技术支持每人说一个方案,乱啊 . 有人说ipsec不支持跨网段,有人说要使用Xaurth.
这年头靠自己,我继续做测试.
