Forum
Bildirimler
Hepsini Temizle
Juniper Networking
35
Yazılar
9
Üyeler
0
Reactions
1,349
Görüntüleme
Konu başlatıcı
arkadaşlar yok mu yardımcı olabilecek
yok ise konuyu kapatabiliriz. yardım zamanında yapılınca yardım niteliği taşır. Herkese tşkler.
Gönderildi : 21/04/2008 22:40
Merhaba ;
Ücretsiz bir portalda olduğunuzu hatırlatarak size şunu soruyorum;
Kafanızdaki netscreen olayını siliniz.Modemde düzgün olarak ipsec vpni yapılandırdınızmı ?Elinizdeki juniper dökümanlarında zyxel ibaresi geçiyormu ?
Zyxel turkiye ile görüştünüzmü.İpsec yapmaya kalktığınızda reject mesajı alıyorsunuz,Agresif mode denedinizmi ?İp sec vpn network subnetleriniz nedir ?
Selamlar
Gönderildi : 22/04/2008 00:42
Fortigate ile netscreen aynı yapıda hemen hemen 🙂 biz policy de farklıyızdır.size örnek fortigate zyxel yapılandırması
Buna bakarak bir şeyleri çözeceğinizi ümit ediyorum.
Configure FortiGate VPN Phase 1
To configure using the Web-based Manager:
- Go to VPN > IPSec > Auto-Key and select Phase1.
- Enter the following:
Name VPN name: VPN-to-ZyWALL Remote Gateway Dialup User Local Interface Select the interface that connects to the Internet. For example, WAN1. Mode Main Authentication Method Preshared Key Pre-shared Key Enter the same preshared key as configured on the ZyWALL - Select Advanced and enter the following:
Enable IPSec Interface Mode Clear this check box. P1 Proposal 1 - 3DES SHA1
2 - 3DES MD5DH Group 2 Local ID FortiGate WAN1 IP Address Nat-traversal Enable Dead Peer Detection Enable - Select OK.
Configure FortiGate VPN Phase 2
To configure using the Web-based Manager:
- Go to VPN > IPSec > Auto-Key and select Phase 2.
- Enter the following:
Name A name for the VPN Phase 2 configuration: VPN-to-ZyWALL_P2 Phase 1 Phase 1 configuration name: VPN-to-ZyWALL - Select Advanced and enter the following:
P2 Proposal 1 - 3DES SHA1
2 - 3DES MD5Enable Replay Detection Enable DH Group 2 Quick Mode Selector Source Address: 10.20.3.0/24
Destination Address: 10.20.10.0/24 - Select OK.
Configure FortiGate Firewall Addresses
Create firewall addresses for the private networks at either end of
the VPN. "LocalLAN" is the network behind the FortiGate unit and
"ZyWALL_net" is the network behind the ZyWALL firewall.
To configure using the Web-based Manager:
- Go to Firewall > Address and select Create New.
- Enter the following:
Address Name LocalLAN Type Subnet/IP Range Subnet/IP Range 10.20.3.0 255.255.255.0 - Select OK.
Repeat the preceding steps for the address "ZyWALL_net", "10.20.10.0 255.255.255.0".
Configure FortiGate Firewall Policy
The firewall policy allows hosts behind the ZyWALL to initiate
communication with hosts on the network behind the FortiGate unit.
Note: This policy must be located before of any current outbound policy.
To configure using the Web-based Manager:
- Go to Firewall > Policy and select Create New.
- Enter the following:
Source Interface/Zone The interface connected to the remote network: WAN1 Source Address The firewall address of the remote network: ZyWALL_net Destination Interface/Zone The interface that connects to the local network: internal Destination Address The firewall address of the local network: LocalLAN Schedule Always Service ANY Action IPSEC VPN Tunnel VPN-to-ZyWALL - Select OK.
Configure ZyWALL Firewall
To configure the ZyWALL Firewall Phase 1
- Log on to the the ZyWALL Firewall's web-based utility.
- Go to Security > VPN > VPN Rules (IKE).
- Select New Gateway and enter the following:
Name VPN-to-FortiGate NAT Traversal Enabled My Address ZyWALL WAN IP Address Primary Remote Gateway FortiGate WAN1 IP Address Pre-Shared Key Enter the same preshared key as configured on the FortiGate. Negotiation Mode Main Encryption Algorithm 3DES Authentication Algorithm SHA1 SA Life (Seconds) 28800 Key Group DH2 - Click Apply
To configure the ZyWALL Firewall Phase 2
- Go to Security > VPN > VPN Rules (IKE).
- Select New Network beside the Phase 1 you had created, and enter the following:
Name VPN-to-FortiGate_P2 Active Enabled Local Network Address Type: Subnet Address
Starting IP Address: 10.20.10.0
Ending IP address / Subnet Mask: 255.255.255.0Remote Network: Address Type: Subnet Address
Starting IP Address: 10.20.3.0
Ending IP address / Subnet Mask: 255.255.255.0Encapsulation Mode Tunnel Active Protocol ESP Encryption Algorithm 3DES Authentication Algorithm SHA1 SA Life (Seconds) 1800 Perfect Forward Secrecy (PFS) DH2 Enable replay detection Enabled - Click Apply.
Gönderildi : 22/04/2008 00:45
Merhaba
Rejected an IKE packet on adsl1 from 88.238.4.xxx:500 to
88.248.124.xx:500 with cookies 2981b23aacd465d8 and 0000000000000000
because an initial Phase 1 packet arrived from an unrecognized peer
gateway.
belirttiğiniz hata için çözüm
http://kb.juniper.net/kb/documents/public/kbdocs/ns10413/ns10413.pdf
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 22/04/2008 01:00
Konu başlatıcı
Merhaba ;
Ücretsiz bir portalda olduğunuzu hatırlatarak size şunu soruyorum;
Kafanızdaki netscreen olayını siliniz.Modemde düzgün olarak ipsec vpni yapılandırdınızmı ?Elinizdeki juniper dökümanlarında zyxel ibaresi geçiyormu ?
Zyxel turkiye ile görüştünüzmü.İpsec yapmaya kalktığınızda reject mesajı alıyorsunuz,Agresif mode denedinizmi ?İp sec vpn network subnetleriniz nedir ?
Selamlar
Ücretsiz bir portaldayım ki yardım istiyorum. Ücretli bir şey istesem Tarafıma hizmet verilmesini isterim.. Buradan yola çıkarak illa site to site vpn yapmam gerekli değil Dial-Up VPN de olur. yeterki vpn olsun. ZyXel le görüşmeme gerek yok.
juniperin kendi orjinal Remote Vpn Client prgramını kullandığım halde bu iletiyi alıyorum. hatta şöyle yapalım
Lütfen Makalenin linkini veriniz. Linklerdeki makale resimleri güvenlik gereği görünmemektedir. İlgili makalenin Linkini vermeniz yeterli olacaktır.
ÇözümPark Yönetim
makalede aynen bu şekilde geçiyor. bunları birebir yaptım
Gönderildi : 22/04/2008 01:49
Her iki cihaz üzerindeki ayarların ekran görüntülerini alalım.
Gönderildi : 22/04/2008 02:00
http://www.thegreenbow.com/doc/tgbvpn_cg_NetscreenNS5GT_en.pdf
birde bu dökümana bakınız.
Gönderildi : 22/04/2008 02:43
Kontrol edermisiniz:
vpn->autokey advance->gateway->Edit->remote gateway type->Dialup user->user> doğru kullanıcı seçilmiş olmalıdır
vpn->autokey advance->gateway->Edit->Advance outgoing interface untrust interface olmalıdır
vpn->autokey ike-> doğru gateway i seçtiğinize emin olun
Policy üzerinde tunnel seçili mi? Seçili ise kaldırın.
ScreenOS versiyon nedir?
Gönderildi : 22/04/2008 12:04
keskinkartal, ne yaptınız ve sonuç nedir?
Gönderildi : 23/04/2008 01:11
Konu başlatıcı
Mesut hocam aşağıda verdiğim linkdeki bütün işlemleri yaptım. İsterseniz kendi Juniperdeki resimleri yollayayım buraya. Ama sonuca hala gidebilmiş değilim
2. linkdeki programı internette buldum ve yükledim. Belirtilen ayarlarıda yaptım fakat sonuç nihayi..
Gönderildi : 23/04/2008 01:21
Konu başlatıcı
Kontrol edermisiniz:
vpn->autokey advance->gateway->Edit->remote gateway type->Dialup user->user> doğru kullanıcı seçilmiş olmalıdır
vpn->autokey advance->gateway->Edit->Advance outgoing interface untrust interface olmalıdır
vpn->autokey ike-> doğru gateway i seçtiğinize emin olun
Policy üzerinde tunnel seçili mi? Seçili ise kaldırın.
ScreenOS versiyon nedir?
hocam hepsi doğru sadece policy üzerinde tunnel seçili. ilgili makalede tunnel olması gerektiği soylenmiş.
| Hardware Version: | 1010(0) | |
|---|---|---|
| Firmware Version: | 5.3.0r3.0 (Firewall+VPN) | |
| Serial Number: | 0103112004002368 | |
| Host Name: | ns5gt-adsl | |
| Operational Mode: | trust-untrust |
Gönderildi : 23/04/2008 01:25
Birincisi pre-shared key in 8 karakterden küçük olmasın.
İkincisi ise 10.0.0.0 lu ip bloklarını 172.16.0.0 veya 192.168.0.0 aralıklarından biriyle değiştirirmisin her iki taraftada.
10.lu blokla konfigurasyon yapmayın.
Gönderildi : 23/04/2008 03:38
Konu başlatıcı
denemelerim sonucu juniperdeki loglarda şu ibareler geçmeke
IKE<85.105.232.180> Phase 1: Responder starts MAIN mode negotiations.
Rejected an IKE packet on adsl1 from 85.105.232.xxx:500 to 88.248.124.xx:500 with cookies 84c03cbb3f281a7e and d0b82b45e875e2dc because there were no acceptable Phase 1 proposals.
ne anlama gelir bilen var mı acaba ?
Gönderildi : 23/04/2008 18:56
Gönderildi : 23/04/2008 23:01
Konu başlatıcı
yazıyı çevirebildiğim kadarı ile şifreleme yöntemlerinde bir sorun var diyor sanırm. fakat iki modemin arayüzünüde aynı anda açıp baktığımda herşey aynı.
Yokmu birisi de İp numarasını versem bir baksa şu modeme 3 gündür telef oldum 🙂
Gönderildi : 23/04/2008 23:22
Konu başlatıcı
Arkadaşlar Mesut hocamın desteği ile Juniper-NS5GT-ADSL nin firmware sini güncellemeye karar verdik. şuanki durumu Current Firmware Version: 5.3.0r3.0 (Firewall+VPN) daha güncelinin adresini bilen var mı acaba ?
Gönderildi : 24/04/2008 02:38
Sayfa 2 / 2
Önceki
