很多人想嘗試windows7系統,但是苦于工作時要使用IPsec vpn找不到合适的用戶端軟體,不得不繼續在Windows XP下工作。目前好像就cisco出了官方版的Windows 7 32bit用戶端軟體,像juniper(最新NetScreen-Remote_×××_Client_9.0r5)、netgare等的最新vpn軟體目前都還不支援win7,而且safenet好像也沒有更新的意向。
今天我這裡向大家推薦一款全平台(Windows all 32/64bit 、linux&BSD)軟體Shrew Soft ××× Client,這個也是因為我們公司一個使用者使用Windows7,才促使我去尋找好用的用戶端并安裝配置該軟體。
先去下載下傳http://www.shrew.net/home ,最好下載下傳2.1.5-release版,我使用2.1.6-beta-4的時候有點問題,今天我再去看的時候有2.1.6-beta-5了。不過因為自己使用下來感覺2.1.5-release已經很穩定了,推薦使用。
下載下傳好後開始安裝,預設安裝就可以了,裡面有驅動未經過MS認證,當告警提示的時候選擇繼續安裝,安裝完成後沒有提示重新啟動,但最好重新啟動下。
下面正式開始配置:
1.檢查防火牆版本,我看該網站support裡面提到netscreen firmware需要5.4+才可以。
http://www.shrewsoft.com/support/wiki/HowtoJuniperSsg
因為我開始是5.0版(2005年左右的版本),而且軟體的配置也有問題,不成功,後來到juniper下載下傳了最新的5.4.0r15.0更新。建議大家更新下firmware,我從5.0到5.4r15中間跨了很多很多版本但是配置檔案一樣存在。更新後還提高了ns25的并發連接配接數從8000提到24064,vpn通道從25增加到50。
2.×××配置。如果你以前沒有配置×××,可以參考該網站的一些配置(上面的連接配接)或者netscreen os手冊。如果你的要求複雜當然也可以看我另一篇blog
http://canidosh.blog.51cto.com/640937/127419 需要增加ip pools
3.如果你的×××已經配置好了,先檢視你以前是否配置ip pools如果沒有配置則需要添加。
在防火牆配置的
Objects—IP Pools—new,建立一個名稱随便取,開始位址和結束位址最好選擇你内網之外的另一個網段,我這裡選擇的是10.10.39.30-100.
4.修改防火牆user的屬性,因為如果已經配置好vpn的使用者屬性是不可以更改的,需要先把他從組裡面移除然後添加IP Pool設定,
Objects—Users—Local Groups移除該使用者,然後再
Users—Local找到該使用者編輯,把需要使用該軟體的使用者都配置啟用一個位址池。
這樣配置好後,再把該使用者添加到以前對應的撥号組裡面去。
如果你公司就一個撥号組,反正要保證想使用Shrew Soft ××× Client的使用者一定要配置設定IP Pool,這個不同與Juniper自己的×××軟體,使用者不要IP Pool也可以撥接上網成功。
5.用戶端配置:
在win7用戶端菜單裡打開ShrewSoft ××× Client--Access Manager,點選add圖示
添加一個新的vpn配置檔案。
A .General選項:
在輸入你的×××公網IP,Auto Configuration選擇 ike config push,别的預設值。
BClient選項,使用預設值就可以了。
Name Resolution選項,可以去掉所有的勾,這個根據自己實際情況,一般公司可能不需要×××使用者使用公司DNS等,我這裡是全部取消的。
Authentication選項,這個是最重要的。
我防火牆是配置的共享 IKE ID (IKE+XAuth)×××,即一個Preshared Key加上xauth認證。
請看仔細local Identity配置,Remote Identity,選擇id type為
Any (因為我防火牆上沒有配置該可選項
),Credentials在最下面的Pre Shared Key輸入前面自己設定的共享key(8位及以上)。
EPhase1選項
Phase2選項
Policy選項
這個根據你的該賬戶對應的防火牆policy設定來,由于這個是給IT使用的,在防火牆設定上的policy設定裡是讓IT人員能通路内網10.10.的網段和192.168.25.網段。那麼在用戶端軟體上也要對應添加上這2個網段才可以。
6.撥接上網,選擇你的vpn配置檔案,點選connect,然後會彈出輸入使用者名密碼框
顯示這個就表示已經連接配接好了,要斷開點選Disconnect就行了。
不過可能覺得讓它一直顯示在這裡不好看,可以在File—preferences
選成這樣,那就當最小化後就隻在系統托盤顯示了。
該軟體是開源軟體,國外使用的比較多點,能用于标準的IPsec ×××連接配接。支援的系統也多,大家以後不再因為×××問題而放棄自己喜歡的系統啦。。。趕快行動吧。