很多人想尝试windows7系统,但是苦于工作时要使用IPsec ***找不到合适的客户端软件,不得不继续在Windows XP下工作。目前好像就cisco出了官方版的Windows 7 32bit客户端软件,像juniper(最新NetScreen-Remote_×××_Client_9.0r5)、netgare等的最新***软件目前都还不支持win7,而且safenet好像也没有更新的意向。
  今天我这里向大家推荐一款全平台(Windows all 32/64bit linux&BSD)软件Shrew Soft ××× Client,这个也是因为我们公司一个用户使用Windows7,才促使我去寻找好用的客户端并安装配置该软件。
  先去下载http://www.shrew.net/home ,最好下载2.1.5-release版,我使用2.1.6-beta-4的时候有点问题,今天我再去看的时候有2.1.6-beta-5了。不过因为自己使用下来感觉2.1.5-release已经很稳定了,推荐使用。
  下载好后开始安装,默认安装就可以了,里面有驱动未经过MS认证,当告警提示的时候选择继续安装,安装完成后没有提示重新启动,但最好重新启动下。
  下面正式开始配置:
1.      检查防火墙版本,我看该网站support里面提到netscreen firmware需要5.4+才可以。
http://www.shrewsoft.com/support/wiki/HowtoJuniperSsg
因为我开始是5.0版(2005年左右的版本),而且软件的配置也有问题,不成功,后来到juniper下载了最新的5.4.0r15.0级。建议大家升级下firmware,我从5.05.4r15中间跨了很多很多版本但是配置文件一样存在。升级后还提高了ns25的并发连接数从8000提到24064***通道从25增加到50
2.      ×××配置。如果你以前没有配置×××,可以参考该网站的一些配置(上面的连接)或者netscreen os手册。如果你的要求复杂当然也可以看我另一篇blog
http://canidosh.blog.51cto.com/640937/127419  需要增加ip pools
3.      如果你的×××已经配置好了,先查看你以前是否配置ip pools如果没有配置则需要添加。
在防火墙配置的Objects—IP Pools—new,新建一个名称随便取,开始地址和结束地址最好选择你内网之外的另一个网段,我这里选择的是10.10.39.30-100.
4.      修改防火墙user的属性,因为如果已经配置好***的用户属性是不可以更改的,需要先把他从组里面移除然后添加IP Pool设置,Objects—Users—Local Groups移除该用户,然后再Objects—Users—Local找到该用户编辑,把需要使用该软件的用户都配置启用一个地址池。
  
   这样配置好后,再把该用户添加到以前对应的拨号组里面去。
   如果你公司就一个拨号组,反正要保证想使用Shrew Soft ××× Client的用户一定要分配IP Pool,这个不同与Juniper自己的×××软件,用户不要IP Pool也可以拨号连接成功。
5.      客户端配置:
win7客户端菜单里打开ShrewSoft ××× Client--Access Manager,点击add图标
添加一个新的***配置文件。
A General选项:
在输入你的×××公网IPAuto Configuration选择 ike config push别的默认值。
BClient选项,使用默认值就可以了。
CName Resolution选项,可以去掉所有的勾,这个根据自己实际情况,一般公司可能不需要×××用户使用公司DNS等,我这里是全部取消的。
DAuthentication选项,这个是最重要的。
我防火墙是配置的共享 IKE ID (IKE+XAuth)×××,即一个Preshared Key加上xauth认证。
请看仔细local Identity配置,Remote Identity,选择id typeAny因为我防火墙上没有配置该可选项Credentials在最下面的Pre Shared Key输入前面自己设置的共享key8位及以上)。
EPhase1选项
FPhase2选项
GPolicy选项
这个根据你的该账户对应的防火墙policy设置来,由于这个是给IT使用的,在防火墙设置上的policy设置里是让IT人员能访问内网10.10.的网段和192.168.25.网段。那么在客户端软件上也要对应添加上这2个网段才可以。
6.      拨号连接,选择你的***配置文件,点击connect,然后会弹出输入用户名密码框
  
显示这个就表示已经连接好了,要断开点击Disconnect就行了。
不过可能觉得让它一直显示在这里不好看,可以在File—preferences
选成这样,那就当最小化后就只在系统托盘显示了。
 
该软件是开源软件,国外使用的比较多点,能用于标准的IPsec ×××连接。支持的系统也多,大家以后不再因为×××问题而放弃自己喜欢的系统啦。。。赶快行动吧。