超詳細，工業路由器與Juniper Netscreen防火墻構建IPsecVPN指南

一、網絡拓撲
ORC305工業4G路由器使用SIM卡撥號上網，獲得運營商分配的動態私網IP地址。右側為企業數據中心部署Juniper Netscreen Firewall防火墻，通過企業專線接入了互聯網，并且使用靜態公網IP，防火墻WAN接口（Unturst接口）接入互聯網，LAN（Trust接口為企業內網）。LTE 4G無線路由器與Juniper Netscreen Firewall防火墻建立IPSec VPN，使得企業的LAN可以訪問ORC305工業無線路由器的LAN口設備。

二、Juniper Netscreen Firewall配置指導
1.NetScreen配置，如圖所示：

在NetScreen系列防火墻端口的初始配置下（這里以SSG5系列為例），Bgroup0在trust區域并關聯上了ethernet0/2-6，Bgroup1-3在Null區域。ethernet0/0口在Untrust區域。ethernet0/1在DMZ區域，Serial0/0工作在Null區域，vlan1工作在Null區域。在對WAN口進行配置之前可以對接口做一個規劃。在這我們把ethernet0/0做為WAN口放在Untrust區域。把ethernet0/1也放入到Bgoup0中去做為LAN口。

WEBUI Network>Interfaces(List)

WEBUI Zone Name：Null(只有在Null區域的接口才能被關聯到Bgroup中)

WEBUI Network>Interfaces(List)f

WEBUI Network>Interfaces>Edit>Bind Port Bind to current Bgroup Ethernet0/2:(勾選)Ethernet0/3:(勾選)Ethernet0/4:(勾選)Ethernet0/5:(勾選)Ethernet0/6:(勾選)現在E0/1-6就都成為了LAN端口了1.1配置WAN端口1.1.1靜態IP地址模式下圖中ethernet0/0的IP為172.0.0.254/24為設備的出廠默認值。若運用商為該線路分配了IP為125.69.128.0/24的地址，則需要根據將WAN接口的地址修改為此IP地址。

WEBUI Network>Interfaces(List)

WEBUI Network>Interfaces>Edit Static IP IP Address/Netmask：125.69.128.108/24（中心端的固定IP地址）1.1.2 PPPoE模式

WEBUI Network>Interfaces(List)

Zone Name:Untrust Obtain IP using PPPoE:Create new pppoe setting

WEBUI Network>PPPoE>Edit Enable:（勾選）Bound to Interface:ethernet0/0 Username:(填寫pppoe的賬號)Password:（填寫pppoe的密碼）Authentication：any(包含了CHAP PAP兩種認證方式)現在Ethernet0/0就已經設置成為了pppoe的WAN端撥號口。檢查pppoe狀態

配置好后在WEBUI Network>PPPoE(List)可以看到State欄會變成Connected狀態

回到WEBUI Network>Interfaces(List)如圖所示在ethernet0/0的pppoe欄會看到一個綠色的表示撥號已經成功。并且IP/Network欄會看到pppoe分配的ip地址和掩碼。如果看到是一個紅色的表示撥號沒成功，如果點擊一下系統會重啟撥號過程，如果還是失敗就檢查是否線路或者配置有錯誤。1.1.3 DHCP動態地址模式

WEBUI Network>Interfaces(List)

WEBUI Network>Interfaces>Edit Obtain IP using DHCP:選取點擊ok之后30秒以內就可以獲取到IP地址。
2.LAN端口配置，如圖所示：

WEBUI Network>Interfaces(List)>Edit

Properties：Basic Zone Name：Trust Static IP：IP Address/Netmask 172.0.0.1/24 Manageable(勾選)Interface Mode：NAT這里需要注意一個問題，在吧Bgroup0的地址從192.168.1.1/24配置到實際需要的地址（172.0.0.1/24）之后。由于DHCP中關于該接口的地址池配置不會自動創建，所以會導致不能通過WEB界面繼續對SSG5進行配置。需要給自己的主機手工設置一個地址。如172.0.0.33/24。再在WEB界面登錄172.0.0.1就可以繼續對SSG5進行配置了。

WEBUI Network>DHCP(List)

WEBUI Network>DHCP(List)

WEBUI Network>DHCP>DHCP Server Address Edit Dynamic:IP Address Start：172.0.0.2（網段中的起始地址）IP Address End：172.0.0.254（網段中的結束地址）現在取消掉手動配置的ip地址以后就可以通過DHCP自動獲得IP地址了。
tunnel接口配置，如圖所示：

WEBUI Network>Interfaces(List)>New

WEBUI Unnumbered:選擇Interface：ethernet0/0(trust-vr)創建一個tunnel接口并將改接口關聯到WAN口上。以備ipsec發送數據時使用。1.4配置策略在系統默認的情況下我們有一條重Trust區域所有條目到Untrust區域的所有條目的策略。而在VPN的環境中我們必須要做到無論哪個區域優先發起的流量都能通信，所以需要在Untrust到Trust的區域添加一條策略。

WEBUI Policy>Policy Elements>Addresses>List

WEBUI Policy>Policy Elements>Addresses>Configuration Address Name:遠端1LAN(為遠端1的列表配置一個名稱)IP Address/Netmask(wildcard mask):192.168.2.0/24（對端1LAN的地址）Zone：Untrust（遠端1的流量從tunnel口進來屬于Untrust區域）

WEBUI Policy>Policy Elements>Addresses>List

Policy>Policy Elements>Addresses>Configuration Address Name：本地LAN(給本地LAN的條目配置一個名稱)IP Address/Netmask(wildcard mask):172.0.0.0/24（本地LAN的地址和掩碼）Zone：Trust（本地LAN應該屬于Trust區域）

WEBUI Policy>Policies(From Untrust To Trust)From：Untrust（選?。﹖o：Trust（選?。?/p>

WEBUI Policy>Policies(From Untrust To Trust)Source Address：Address Book Enty:遠端1LAN(之前為遠端1條目創建的列表，因為是從Untrust到trust所以這里為源)Destination Address：Address Book Enty：本地LAN(本地LAN列表名)點擊OK一條從Untrust到Trust的策略就配置好了。使得雙方的LAN端可以順利通信。
三、ORC305路由器端配置指導
1.將SIM卡插入路由器卡槽
2.給設備上電，登入路由器web頁面（默認為192.168.2.1）
3.進入網絡→接口→連鏈路備份界面啟用對應SIM卡并上調鏈路優先級，保存配置
4.對應SIM卡撥號成功，當前鏈路變為綠色
5.進入網絡→VPN→IPsec界面進行路由器（IPsec VPN客戶端）配置

保存并應用配置后即可進入狀態→VPN頁面看到IPsec VPN狀態為已連接