windows2003架设VPN穿越Juniper防火墙设置步骤

由于公司需要远程维护，又不想多花钱买硬件，决定搭建一山寨VPN服务器，因此有了这篇文章。
环境：windows2003 VPN；双网卡；外网ADSL动态；内网固定IP，且处于某Vlan；Juniper ns520防火墙。
目的：客户端在外网通过VPN连接到公司网络维护服务器并能够访问其他Vlan的计算机的共享文件夹。
一.什么是VPN
VPN（Virtual Private Network）即虚拟专用网络，就是两个具有VPN发起连接能力的设备（计算机或防火墙）通过 Internet形成的一条安全的隧道。在隧道的发起端（即服务端），用户的私有数据通过封装和加密之后在Internet上传输，到了隧道的接收端（即客户端），接收到的数据经过拆封和解密之后安全地到达用户端。不言而喻，此种方式能在非安全的互联网上安全地传送私有数据来实现基于internet的联网操作。
二.windows2003 VPN服务端安装配置
在windows2003中VPN服务称之为“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效即可。
第一步：依次选择“开始”－“管理工具”－“路由和远程访问”，打开“路由和远程访问”服务窗口；再在窗口右边右击本地计算机名，选择“配置并启用路由和远程访问”，如下图所示：

第二步：在出现的配置向导窗口点下一步，进入服务选择窗口，如下图所示。选择“ 自定义配置”；下一步选择所有项。然后点击下一步，完成开启配置后即可开始VPN服务了。

第三步：到这里还没完，以上两步只是开启了VPN服务，还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题，右击右边树形目录里的本地服务器名，选择“属性”并切换到IP选项卡（如下图所示）。选择静态地址池，分配内网IP地址段。

第四步：我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP，这样客户机便可随时随地对服务端进行访问；而如果你是家庭用户采用的ADSL宽带接入的话，那一般都是每次上网地址都不一样的动态IP，所以需在VPN服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为：花生壳，可以在www.oray.net下载，其安装及注意事项请参阅相关资料，这里不再详述。好了，差不多了，经过以上的步骤，你的服务端VPN已正式开始工作了。
三、VPN客户端配置
这一端配置相对简单得多，只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络，接着笔者同样以windows 2003客户端为例说明，其它的win2K操作系统设置都大同小异：
第一步：在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”，继续下一步，在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”；接着为此连接命名后点下一步。

四.PPTP穿越NS520的NAT
To address this problem, enable the VIP multi-port command, which will allow configuration of a VIP service which has more than 1 port it listens to.  Without this command, a VIP service can only listen to one port.  Note that setting VIP multi-port will require a reboot.

From the command line interface (CLI):

set vip multi-port [Enter]
save [Enter]
reset [Enter]

The multi-port command will match the first port it sees in the custom service.

Next, define a custom service for PPTP and apply this service in the VIP.  From the CLI:

set service CustomPPTP group “other” 47 src 2048-2048 dst 2048-2048 [Enter]
set service CustomPPTP + tcp src 0-65535 dst 1723-1723 [Enter]
set interface ethernet0/0 vip 2048 CustomPPTP 10.1.1.10 [Enter]

Finally, create an incoming policy with destination address as the VIP using the custom service object.  From the CLI:

set policy from untrust to trust “any” “VIP::1” “CustomPPTP” permit [Enter]
save [Enter]

In this example, the PPTP server was assumed to be on the trust side of the Firewall, at IP address 10.1.1.10. Note that for Microsoft Windows, the custom PPTP service must contain both TCP port 1723 and IP protocol 47 with port 2048. The source port for TCP 1723 must be 0-65535 to allow for any source port.

五.在VPN服务器上添加静态路由
前面已经讲过 Windows双网卡。假如在局域网Vlan中有vlan1：10.4.1.0 和 vlan2：10.4.2.0 。 vpn客户端拨入vlan 10.4.1.0 。 vlan策略 是10.4.1.0 能访问10.4.2.0 的。但是客户端通过VPN拨进来vlan1是不能访问vlan2的 需要在vpn服务器上添加静态路由，添加方法是在命令行下输入：
route add -p 10.4.2.0 mask 255.255.255.0 10.4.1.0

总结：

1.设置VPN自定义配置时全选

2.网卡设置外网设置网关DNS内网只设置IP和掩码

3.设置NS520 使PPTP穿透NAT

4.在VPN服务器添加静态路由以便访问不同Vlan