Juniper IPsec ××× windows 7客户端

 很多人想尝试windows7系统，但是苦于工作时要使用IPsec ***找不到合适的客户端软件，不得不继续在Windows XP下工作。目前好像就cisco出了官方版的Windows 7 32bit客户端软件，像juniper（最新NetScreen-Remote_×××_Client_9.0r5）、netgare等的最新***软件目前都还不支持win7，而且safenet好像也没有更新的意向。

  今天我这里向大家推荐一款全平台（Windows all 32/64bit 、linux&BSD）软件Shrew Soft ××× Client，这个也是因为我们公司一个用户使用Windows7，才促使我去寻找好用的客户端并安装配置该软件。

  先去下载http://www.shrew.net/home ，最好下载 2.1.5 -release版，我使用2.1.6-beta-4的时候有点问题，今天我再去看的时候有2.1.6-beta-5了。不过因为自己使用下来感觉2.1.5-release已经很稳定了，推荐使用。

  下载好后开始安装，默认安装就可以了，里面有驱动未经过MS认证，当告警提示的时候选择继续安装，安装完成后没有提示重新启动，但最好重新启动下。

  下面正式开始配置：

1.      检查防火墙版本，我看该网站support里面提到netscreen firmware需要5.4+才可以。

http://www.shrewsoft.com/support/wiki/HowtoJuniperSsg

因为我开始是5.0版（2005年左右的版本），而且软件的配置也有问题，不成功，后来到juniper下载了最新的 5.4.0 r 15.0 升 级。建议大家升级下firmware，我从5.0到5.4r15中间跨了很多很多版本但是配置文件一样存在。升级后还提高了ns25的并发连接数从8000提到24064，***通道从25增加到50。

2.      ×××配置。如果你以前没有配置×××，可以参考该网站的一些配置（上面的连接）或者netscreen os手册。如果你的要求复杂当然也可以看我另一篇blog

http://canidosh.blog.51cto.com/640937/127419  需要增加ip pools

3.      如果你的×××已经配置好了，先查看你以前是否配置ip pools如果没有配置则需要添加。

在防火墙配置的Objects—IP Pools—new，新建一个名称随便取，开始地址和结束地址最好选择你内网之外的另一个网段，我这里选择的是 10.10.39 .30-100.

4.      修改防火墙user的属性，因为如果已经配置好***的用户属性是不可以更改的,需要先把他从组里面移除然后添加IP Pool设置，Objects—Users—Local Groups移除该用户，然后再Objects—Users—Local找到该用户编辑，把需要使用该软件的用户都配置启用一个地址池。

  

   这样配置好后，再把该用户添加到以前对应的拨号组里面去。

   如果你公司就一个拨号组，反正要保证想使用Shrew Soft ××× Client的用户一定要分配IP Pool，这个不同与Juniper自己的×××软件，用户不要IP Pool也可以拨号连接成功。

5.      客户端配置：

在win7客户端菜单里打开ShrewSoft ××× Client--Access Manager，点击add图标

添加一个新的***配置文件。

A． General选项：

在输入你的×××公网IP，Auto Configuration选择 ike config push，别的默认值。

B．Client选项，使用默认值就可以了。

C．Name Resolution选项，可以去掉所有的勾，这个根据自己实际情况，一般公司可能不需要×××用户使用公司DNS等，我这里是全部取消的。

D．Authentication选项，这个是最重要的。

我防火墙是配置的共享 IKE ID (IKE+XAuth)×××，即一个Preshared Key加上xauth认证。

请看仔细local Identity配置，Remote Identity，选择id type为Any（因为我防火墙上没有配置该可选项），Credentials在最下面的Pre Shared Key输入前面自己设置的共享key（8位及以上）。

E．Phase1选项

F．Phase2选项

G．Policy选项

这个根据你的该账户对应的防火墙policy设置来，由于这个是给IT使用的，在防火墙设置上的policy设置里是让IT人员能访问内网10.10.的网段和192.168.25.网段。那么在客户端软件上也要对应添加上这2个网段才可以。

6.      拨号连接，选择你的***配置文件，点击connect，然后会弹出输入用户名密码框

  

显示这个就表示已经连接好了，要断开点击Disconnect就行了。

不过可能觉得让它一直显示在这里不好看，可以在File—preferences

选成这样，那就当最小化后就只在系统托盘显示了。

 

该软件是开源软件，国外使用的比较多点，能用于标准的IPsec ×××连接。支持的系统也多，大家以后不再因为×××问题而放弃自己喜欢的系统啦。。。赶快行动吧。