楼主.我们有一个2002年的NETSCREEN 204 使用的软件版本太老了 想升级.但过了维保期了.问个问题是.能否想CISCO一样给这种防火墙升级啊.从其他地方搞一个软件升级啊

现在正为公司配置与分公司的网络互连的项目，遇到了个问题，麻烦 mzwa 和各位兄弟给指点指点。
1.需求：公司要求将总公司与分公司通过VPN将两边的LAN互连互通，并能客户端能通过网上邻居进行互访问共享文件。
2.网格结构：
总公司这边是 Internet --(公网固定IP)-- Netscreen --(10.200.10.0网段)-- 路由器 --(10.200.20.0网段)-- LAN；
分公司那边是 Internet --(公网固定IP)-- Netscreen --(10.200.30.0网段)-- 交换机 --- LAN。
3.实现方式：
    总公司是5GT(OSv5.0)，做基于路由的LAN to LAN VPN，预共享密钥；
    分公司是5XT(OSv4.0)，做基于路由的LAN to LAN VPN，预共享密钥；并在Routing 中除了添加10.200.10.0网段的Tunnel.1路由外，还添加了10.200.20.0网段的Tunnel.1路由，还在地址中添加了10.0和20.0两个网段的址址，并将这两个地址加入一个Group中，在Policies中添加这个Group进行配置。
    （在路由VPN的配置操作中步骤严格按NETSCREEN中文配置指南中的说明进行典型配置,除了分公司这边的加路由和地址是我加的）；
4.现状：
    总公司的办公内网(10.200.20.0网段)的PC通过Ping通分公司的IP(10.200.30.0网段)，并能通过手动输入IP地址方式查看分公司网段的共享文件，但不能在网上邻居中查看到分公司的PC；如果将PC的IP改成(10.200.10.0网段)，即路由器与NS连接的网段，则能顺利的通过网上邻居查看分公司的PC共享文件。用tracert查看,第一跳是内网路由器网关,第二跳是NS防火墙Trust网关,第三跳到30.0网段分公司PC的IP……
    注：在(10.200.10.0网段)安装有一台WINS服务器，总公司与分公司的办公电脑均通过访问，在WINS数据库中已经能看到所有PC的计算机名和IP，即20.0和30.0网段的PC通过顺利查询。
    在分公司方面除了，30.0网段的PC能通过VPN访问10.0网段的PC外，不论是手工输入IP地址，还是网上邻居都不能访问总公司内网(20.0网段)的PC，Ping总公司的20.0网段的PC的IP时，均是超时，用tracert查看，发现除了第一跳到30.0网段在NS防火墙上的网关后，就找不到下一跳的网关了，Time Out......
我花了一天时间也没有找到解决分从公司到总公司路由后面的PC访问方法……

大家看看我在什么地方还差什么参数没有添加上去？

唉……郁闷中........

[ 本帖最后由 tccrock 于 2006-7-2 15:24 编辑 ]

引用:

原帖由 idcpanda 于 2006-6-28 12:00 发表
楼主.我们有一个2002年的NETSCREEN 204 使用的软件版本太老了 想升级.但过了维保期了.问个问题是.能否想CISCO一样给这种防火墙升级啊.从其他地方搞一个软件升级啊

我这里到是有204的5.0升级包，你需要的话可以给你，但是升级的风险你要考虑清楚啊！

以前撥號上網，用花生殼來解析動態IP，當啟動花生殼后遠程的VPN用戶可以訪問到服務器。現在改用固定IP了，可是在遠程VPN用戶還是要在啟動花生殼之后才能登入。
請教一下是哪里沒設置到？

引用:

原帖由 fang0821 于 2006-7-20 16:35 发表
以前撥號上網，用花生殼來解析動態IP，當啟動花生殼后遠程的VPN用戶可以訪問到服務器。現在改用固定IP了，可是在遠程VPN用戶還是要在啟動花生殼之后才能登入。
請教一下是哪里沒設置到？

现在好了吗？

現在可以了，是客戶端設置問題

引用:

原帖由 fang0821 于 2006-8-15 15:08 发表
現在可以了，是客戶端設置問題

呵呵，好的，有什么问题再写出来

谢谢 mzwa版主这么热心的解答网友的问题，好人啊：）
我也有个问题，很久了，一直没解决，虽然不是很重要，但是搞不懂总觉得不爽。
我有一台ns25机器，电信的10M LAN线路出口（需要拨号的），内网一共30个用户，内网发布了FTP服务器（限速50k），发现只要有十几个连接进来，几十分钟后，马上造成上网极慢，但是session，cpu，内存之类的数据都非常正常，没有超限，把宽带线路断一下，就正常了，然后过几十分钟又开始慢......
这个问题搞了很久也搞不定，联系了商家也没办法解决，后来只好算了，把ftp服务器对外服务基本上全部关掉。

厂家答复：在部分中低端产品中，可以支持MIP或VIP地址和公网接口地址使用同一个IP地址。204以上为中高端产品，不支持该功能。

看看～～～～～～～～～～～～～～

请教个问题，用windows2003自带的vpn功能做了一台vpn服务器，在内部局域网连接都很正常，可从家连接时总提示“不能建立vpn连接，vpn服务器不能到达”。

网络结构是：adsl企业猫+ns 5gt+交换机

是不是要在5gt上做什么映射阿，还是应该做什么，本人刚接触5gt,一窍不通，请大家告诉我一下该怎么做啊，具体点，本人水平低，谢谢大家。请大家指教！！！
本人非常急，谢谢大家！！！

[ 本帖最后由 chengangmail100 于 2006-8-26 17:28 编辑 ]

请教个问题，用windows2003自带的vpn功能做了一台vpn服务器，在内部局域网连接都很正常，可从家连接时总提示“不能建立vpn连接，vpn服务器不能到达”。

网络结构是：adsl企业猫+ns 5gt+交换机

是不是要在5gt上做什么映射阿，还是应该做什么，本人刚接触5gt,一窍不通，请大家告诉我一下该怎么做啊，具体点，本人水平低，谢谢大家。请大家指教！！！
本人非常急，谢谢大家！！！

[ 本帖最后由 chengangmail100 于 2006-8-26 17:27 编辑 ]

我也是用的Netscreen,,
确实不错,
基本功能的配置非常简单,而且价格也还不高
不过,国外的产品在售后方面好像都是有偿服务,要困难一点,我现在有一台思科2600就放在那里了,,,

引用:

原帖由 chengangmail100 于 2006-8-26 16:56 发表
请教个问题，用windows2003自带的vpn功能做了一台vpn服务器，在内部局域网连接都很正常，可从家连接时总提示“不能建立vpn连接，vpn服务器不能到达”。

网络结构是：adsl企业猫+ns 5gt+交换机

是不是要在5g ...

要开端口才能连接到VPN
而且要在VPN服务器上装动态DNS支持才行的咯

请问怎么开端口啊,能具体点吗???谢谢

如方便请加我msn : chengang.2008@hotmail.com

内网的vpn服务器怎么能通过ns 5gt发布到外网啊???

windows2003自带的vpn功能搭建的vpn服务器,怎么才能通过netscreen 5gt发布出去啊,在ns 5gt上要做什么设置啊???请高人指教,谢谢!!!最好能具体点

netscreen 204 配置了l2tp vpn，客户端xp拨号可以正常连接netscreen，也可以访问内网服务器；但是客户端xp拨号后不能访问互联网了，可以实现同时访问内网和互联网吗？（出口-netscreen-若干3层交换机-内网服务器）
     如果l2tp vpn不能实现同时访问内网和互联网，用哪种vpn方式可以实现同时能访问内网服务器和互联网？

引用:

原帖由 chengangmail100 于 2006-8-28 18:48 发表
内网的vpn服务器怎么能通过ns 5gt发布到外网啊???

windows2003自带的vpn功能搭建的vpn服务器,怎么才能通过netscreen 5gt发布出去啊,在ns 5gt上要做什么设置啊???请高人指教,谢谢!!!最好能具体点

做端口映射，把VPN服务器地址直接映射到FW外口上； L2TP 因该是用1701端口

引用:

原帖由 sclyb 于 2006-9-15 15:54 发表
netscreen 204 配置了l2tp vpn，客户端xp拨号可以正常连接netscreen，也可以访问内网服务器；但是客户端xp拨号后不能访问互联网了，可以实现同时访问内网和互联网吗？（出口-netscreen-若干3层交换机-内网服务器 ...

这个是因为你拨号VPN后的路由问题，跟VPN服务器无关，需要客户端那里设置路由

支持先，学习中