Forum

Juniper-NS5GT-ADSL ...
 
Bildirimler
Hepsini Temizle

Juniper-NS5GT-ADSL Vpn konusunda yardım lütfen.

35 Yazılar
9 Üyeler
0 Reactions
1,373 Görüntüleme
(@MuammerKOSEOGLU)
Gönderiler: 196
Reputable Member
Konu başlatıcı
 

arkadaşlar yok mu yardımcı olabilecek


 


yok ise konuyu kapatabiliriz. yardım zamanında yapılınca yardım niteliği taşır. Herkese tşkler.

 
Gönderildi : 21/04/2008 22:40

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

Merhaba ;
Ücretsiz bir portalda olduğunuzu hatırlatarak size şunu soruyorum;
Kafanızdaki netscreen olayını siliniz.Modemde düzgün olarak ipsec vpni yapılandırdınızmı ?Elinizdeki juniper dökümanlarında zyxel ibaresi geçiyormu ?
Zyxel turkiye ile görüştünüzmü.İpsec yapmaya kalktığınızda reject mesajı alıyorsunuz,Agresif mode denedinizmi ?İp sec vpn network subnetleriniz nedir ?
Selamlar

 
Gönderildi : 22/04/2008 00:42

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

Fortigate ile netscreen aynı yapıda hemen hemen 🙂 biz policy de farklıyızdır.size örnek fortigate zyxel yapılandırması
Buna bakarak bir şeyleri çözeceğinizi ümit ediyorum.

Configure FortiGate VPN Phase 1

To configure using the Web-based Manager:

  1. Go to VPN > IPSec > Auto-Key and select Phase1.
  2. Enter the following:
    Name VPN name: VPN-to-ZyWALL
    Remote Gateway Dialup User
    Local Interface Select the interface that connects to the Internet. For example, WAN1.
    Mode Main
    Authentication Method Preshared Key
    Pre-shared Key Enter the same preshared key as configured on the ZyWALL
  3. Select Advanced and enter the following:
    Enable IPSec Interface Mode Clear this check box.
    P1 Proposal 1 - 3DES SHA1
    2 - 3DES MD5
    DH Group 2
    Local ID FortiGate WAN1 IP Address
    Nat-traversal Enable
    Dead Peer Detection Enable
  4. Select OK.

Configure FortiGate VPN Phase 2

To configure using the Web-based Manager:

  1. Go to VPN > IPSec > Auto-Key and select Phase 2.
  2. Enter the following:
    Name A name for the VPN Phase 2 configuration: VPN-to-ZyWALL_P2
    Phase 1 Phase 1 configuration name: VPN-to-ZyWALL
  3. Select Advanced and enter the following:
    P2 Proposal 1 - 3DES SHA1
    2 - 3DES MD5
    Enable Replay Detection Enable
    DH Group 2
    Quick Mode Selector Source Address: 10.20.3.0/24
    Destination Address: 10.20.10.0/24
  4. Select OK.

Configure FortiGate Firewall Addresses

Create firewall addresses for the private networks at either end of
the VPN. "LocalLAN" is the network behind the FortiGate unit and
"ZyWALL_net" is the network behind the ZyWALL firewall.

To configure using the Web-based Manager:

  1. Go to Firewall > Address and select Create New.
  2. Enter the following:
    Address Name LocalLAN
    Type Subnet/IP Range
    Subnet/IP Range 10.20.3.0 255.255.255.0
  3. Select OK.

Repeat the preceding steps for the address "ZyWALL_net", "10.20.10.0 255.255.255.0".

Configure FortiGate Firewall Policy

The firewall policy allows hosts behind the ZyWALL to initiate
communication with hosts on the network behind the FortiGate unit.

Note: This policy must be located before of any current outbound policy.

To configure using the Web-based Manager:

  1. Go to Firewall > Policy and select Create New.
  2. Enter the following:
    Source Interface/Zone The interface connected to the remote network: WAN1
    Source Address The firewall address of the remote network: ZyWALL_net
    Destination Interface/Zone The interface that connects to the local network: internal
    Destination Address The firewall address of the local network: LocalLAN
    Schedule Always
    Service ANY
    Action IPSEC
    VPN Tunnel VPN-to-ZyWALL
  3. Select OK.

Configure ZyWALL Firewall

To configure the ZyWALL Firewall Phase 1

  1. Log on to the the ZyWALL Firewall's web-based utility.
  2. Go to Security > VPN > VPN Rules (IKE).
  3. Select New Gateway and enter the following:
    Name VPN-to-FortiGate
    NAT Traversal Enabled
    My Address ZyWALL WAN IP Address
    Primary Remote Gateway FortiGate WAN1 IP Address
    Pre-Shared Key Enter the same preshared key as configured on the FortiGate.
    Negotiation Mode Main
    Encryption Algorithm 3DES
    Authentication Algorithm SHA1
    SA Life (Seconds) 28800
    Key Group DH2
  4. Click Apply

To configure the ZyWALL Firewall Phase 2

  1. Go to Security > VPN > VPN Rules (IKE).
  2. Select New Network beside the Phase 1 you had created, and enter the following:
    Name VPN-to-FortiGate_P2
    Active Enabled
    Local Network Address Type: Subnet Address
    Starting IP Address: 10.20.10.0
    Ending IP address / Subnet Mask: 255.255.255.0
    Remote Network: Address Type: Subnet Address
    Starting IP Address: 10.20.3.0
    Ending IP address / Subnet Mask: 255.255.255.0
    Encapsulation Mode Tunnel
    Active Protocol ESP
    Encryption Algorithm 3DES
    Authentication Algorithm SHA1
    SA Life (Seconds) 1800
    Perfect Forward Secrecy (PFS) DH2
    Enable replay detection Enabled
  3. Click Apply.

 
Gönderildi : 22/04/2008 00:45

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33370
Illustrious Member Yönetici
 

Merhaba

Rejected an IKE packet on adsl1 from 88.238.4.xxx:500 to
88.248.124.xx:500 with cookies 2981b23aacd465d8 and 0000000000000000
because an initial Phase 1 packet arrived from an unrecognized peer
gateway.

belirttiğiniz hata için çözüm

http://kb.juniper.net/kb/documents/public/kbdocs/ns10413/ns10413.pdf

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/04/2008 01:00

(@MuammerKOSEOGLU)
Gönderiler: 196
Reputable Member
Konu başlatıcı
 

Merhaba ;
Ücretsiz bir portalda olduğunuzu hatırlatarak size şunu soruyorum;
Kafanızdaki netscreen olayını siliniz.Modemde düzgün olarak ipsec vpni yapılandırdınızmı ?Elinizdeki juniper dökümanlarında zyxel ibaresi geçiyormu ?
Zyxel turkiye ile görüştünüzmü.İpsec yapmaya kalktığınızda reject mesajı alıyorsunuz,Agresif mode denedinizmi ?İp sec vpn network subnetleriniz nedir ?
Selamlar


Ücretsiz bir portaldayım ki yardım istiyorum.  Ücretli bir şey istesem  Tarafıma hizmet verilmesini isterim.. Buradan yola çıkarak   illa site to site vpn yapmam gerekli değil   Dial-Up VPN de olur. yeterki vpn olsun. ZyXel le görüşmeme gerek yok.


juniperin kendi orjinal Remote Vpn Client prgramını kullandığım halde bu iletiyi alıyorum. hatta şöyle yapalım


Lütfen Makalenin linkini veriniz. Linklerdeki makale resimleri güvenlik gereği görünmemektedir. İlgili makalenin Linkini vermeniz yeterli olacaktır.


ÇözümPark Yönetim



 

makalede aynen bu şekilde geçiyor. bunları birebir yaptım

 
Gönderildi : 22/04/2008 01:49

(@mesutsariyar)
Gönderiler: 2515
Co-Founder
 

Her iki cihaz üzerindeki ayarların ekran görüntülerini alalım.

 
Gönderildi : 22/04/2008 02:00

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

http://www.thegreenbow.com/doc/tgbvpn_cg_NetscreenNS5GT_en.pdf
birde bu dökümana bakınız.

 
Gönderildi : 22/04/2008 02:43

(@muratguclu)
Gönderiler: 1164
Noble Member
 

Kontrol edermisiniz:  


vpn->autokey advance->gateway->Edit->remote gateway type->Dialup user->user> doğru kullanıcı seçilmiş olmalıdır


vpn->autokey advance->gateway->Edit->Advance   outgoing interface untrust interface olmalıdır


vpn->autokey ike-> doğru gateway i seçtiğinize emin olun


Policy üzerinde tunnel seçili mi? Seçili ise kaldırın.


ScreenOS versiyon nedir?

 
Gönderildi : 22/04/2008 12:04

(@mesutsariyar)
Gönderiler: 2515
Co-Founder
 

keskinkartal, ne yaptınız ve sonuç nedir?


 

 
Gönderildi : 23/04/2008 01:11

(@MuammerKOSEOGLU)
Gönderiler: 196
Reputable Member
Konu başlatıcı
 

Mesut hocam aşağıda verdiğim linkdeki bütün işlemleri yaptım. İsterseniz kendi Juniperdeki resimleri yollayayım buraya.  Ama sonuca hala gidebilmiş değilim


 


http://www.bilginipaylas.com/network-makaleleri/juniper-firewallarda-xauth-vpn-yapilandirilmasi-1.-bolum.html


http://www.bilginipaylas.com/juniper-cozumleri/juniper-firewallarda-xauth-client-vpn-yapilandirilmasi-2.bolum.html


 


2. linkdeki programı internette buldum ve yükledim. Belirtilen ayarlarıda yaptım fakat sonuç nihayi..

 
Gönderildi : 23/04/2008 01:21

(@MuammerKOSEOGLU)
Gönderiler: 196
Reputable Member
Konu başlatıcı
 


Kontrol edermisiniz:  


vpn->autokey advance->gateway->Edit->remote gateway type->Dialup user->user> doğru kullanıcı seçilmiş olmalıdır


vpn->autokey advance->gateway->Edit->Advance   outgoing interface untrust interface olmalıdır


vpn->autokey ike-> doğru gateway i seçtiğinize emin olun


Policy üzerinde tunnel seçili mi? Seçili ise kaldırın.


ScreenOS versiyon nedir?



hocam hepsi doğru sadece  policy üzerinde tunnel seçili. ilgili makalede tunnel olması gerektiği soylenmiş.























 Hardware Version: 1010(0)
  Firmware Version:
5.3.0r3.0 (Firewall+VPN)
  Serial Number:
0103112004002368
  Host Name:
ns5gt-adsl
  Operational Mode: trust-untrust

 
Gönderildi : 23/04/2008 01:25

(@mesutsariyar)
Gönderiler: 2515
Co-Founder
 

Birincisi pre-shared key in 8 karakterden küçük olmasın.


İkincisi ise 10.0.0.0 lu ip bloklarını 172.16.0.0 veya 192.168.0.0 aralıklarından biriyle değiştirirmisin her iki taraftada.


10.lu blokla  konfigurasyon yapmayın.

 
Gönderildi : 23/04/2008 03:38

(@MuammerKOSEOGLU)
Gönderiler: 196
Reputable Member
Konu başlatıcı
 

denemelerim sonucu juniperdeki loglarda şu ibareler geçmeke


 


IKE<85.105.232.180> Phase 1: Responder starts MAIN mode negotiations.


Rejected an IKE packet on adsl1 from 85.105.232.xxx:500 to 88.248.124.xx:500 with cookies 84c03cbb3f281a7e and d0b82b45e875e2dc because there were no acceptable Phase 1 proposals.


ne anlama gelir bilen var mı acaba ?

 
Gönderildi : 23/04/2008 18:56

(@mesutsariyar)
Gönderiler: 2515
Co-Founder
 

Bu mesaj ile ilgili Juniper 3 açıklama getirmiş;


http://kb.juniper.net/KB9238

 
Gönderildi : 23/04/2008 23:01

(@MuammerKOSEOGLU)
Gönderiler: 196
Reputable Member
Konu başlatıcı
 

yazıyı çevirebildiğim kadarı ile şifreleme yöntemlerinde bir sorun var diyor sanırm.   fakat iki modemin arayüzünüde  aynı anda açıp baktığımda herşey aynı.


Yokmu birisi de İp numarasını versem bir baksa şu modeme 3 gündür telef oldum 🙂

 
Gönderildi : 23/04/2008 23:22

(@MuammerKOSEOGLU)
Gönderiler: 196
Reputable Member
Konu başlatıcı
 

Arkadaşlar Mesut hocamın desteği ile  Juniper-NS5GT-ADSL nin firmware sini güncellemeye karar verdik. şuanki durumu Current Firmware Version: 5.3.0r3.0 (Firewall+VPN)    daha güncelinin adresini bilen var mı acaba ?


 

 
Gönderildi : 24/04/2008 02:38

Sayfa 2 / 2
Paylaş: