1、如需要登录radius 服务器 验证,则windows Internet验证服务器 远程 策略里的
配置VSA(符合RFC)属性的值 要是大写
2、第一条值的名字 要和防火墙里 XAuth Server验证里的External Authentication的User Group组名相同
3、通过增加local user 和对应的
AutoKey IKE 、gateway 、POLICY 可以控制不同AD用户及组的×××访问权限
4、WIN7下 只能用Shrew Soft ××× Client ,要设置IP POOL,否则会不成功,这点和NetScreen-Remote_×××_Client有区别
在win7客户端菜单里打开ShrewSoft ××× Client--Access Manager,点击add图标
添加一个新的***配置文件。
A. General选项:
在输入你的×××公网IP,Auto Configuration选择 ike config push,别的默认值。
B.Client选项,使用默认值就可以了。
C.Name Resolution选项,可以去掉所有的勾,这个根据自己实际情况,一般公司可能不需要×××用户使用公司DNS等,我这里是全部取消的。
D.Authentication选项,这个是最重要的。
我防火墙是配置的共享 IKE ID (IKE+XAuth)×××,即一个Preshared Key加上xauth认证。
请看仔细local Identity配置,Remote Identity,选择id type为Any(因为我防火墙上没有配置该可选项),Credentials在最下面的Pre Shared Key输入前面自己设置的共享key(8位及以上)。
E.Phase1选项
F.Phase2选项
G.Policy选项
这个根据你的该账户对应的防火墙policy设置来,由于这个是给IT使用的,在防火墙设置上的policy设置里是让IT人员能访问内网10.10.的网段和192.168.25.网段。那么在客户端软件上也要对应添加上这2个网段才可以。
转载于:https://blog.51cto.com/wangsheng1/505643