最近公司需要,搭建×××,经过研究测试,决定用软件×××。环境:接入设备juniper ssg20防火墙,内网服务器win2008。在服务器上搭建×××(搭建的过程就不介绍了,网上教程很多,不是本文重点),但是测试的时候出现问题了,客户端连接总是提示806错误,到服务器上查看“网络策略和访问服务”日志,提示:“已建立 ××× 服务器与 ××× 客户端 11.203.97.224 之间的连接,但是无法完成 ××× 连接。产生这种情况的最常见原因是,未将 ××× 服务器与 ××× 客户端之间的防火墙或路由器配置为允许基本路由封装(GRE)数据包(协议 47)。

网上搜了很久,找到的基本都是命令行配置(我对命令很不感冒),经过摸索,终于找到了WebUI界面的配置方法,分享出来,碰到类似问题的朋友可以参考一下!一共需要三个步骤:

一、定义GRE协议。登录防火墙,打开Policy > Policy Elements > Services > Custom,点击右上角的New,打开定义界面,Service Name起个名字,比如“GRE47”,在协议中选择other,后面的协议号为47,源端口Source Port默认就可以,目标端口Destination Port,Low和High都是2048。点ok保存。

 

二、映射GRE端口。打开Network > Interfaces >List,在ethernet0/0端口后面点击Edit,点击上方的vip,点击右上角的New VIP Service,在Map to Service选择刚刚定义的GRE47端口,MAP to IP输入内网×××地址。点OK确定。

 

 

三、添加策略。打开Policy > Policies,上方选择from “Untrust” to “Trust”,点击右角上角的New,创建策略。在Source Address > Address Book Entry选择“Any",在Destination Address > Address Book Entry选择“VIP(ethernet0/0)”,Service选择定义的“GRE47”,Action选择“Permit”,点击OK保存。

 

完成上面配置,juniper防火墙已经开启了GRE协议。×××可以正常使用了!