M0N0WALL的基本安装和固定IP共享上网以及与netscreen建立site to site I

M0n0wall是基于FreeBsd内核开发的免费软件防火墙。m0n0wall提供基于web的配置管理、提供VPN功能、支持DHCP Server、DNS转发、动态DNS、Ipsec、流量控制、无线网络支持等功能。

 

1、需要一台有系统的工作站 

m0n0wall的镜像文件，硬盘版的为img格式，下载地址：http://bbs.m0n0china.org/viewthread.php?tid=9921

物理写盘工具 physdiskwrite.exe 下载地址

2、把准备安装m0n0wall的机器硬盘挂到工作站上。

为了方便，把这两个文件放到D盘根目录下，方便操作。打开命令行窗口,进入文件存放目录，命令格式：physdiskwrite..exe -u generic-pc-1.234_sc.img

在这里一定要看清楚，别写错了硬盘，数据会丢的，选择好磁盘后点y，回车

写入完毕后就可以关闭这台工作站了。

3、然后把硬盘摘下来挂到要做M0N0的机器上去启动，记住把硬盘设置为第一通道，否则会引导不成功。成功引导后可以看到有6个选项

第一项 为lan和WAN指定网卡

第二项 给LAN设定IP和掩码

第三项 复位WEB口令

第四项 恢复默认

第五项 重启系统

第六项 PING HOST

首先选第一项指定网卡名称

 

会提示你是否现在设置VLAN，看你需要了。我选N，回车; 需要注意的是，各种型号的网卡可能显示名称会不同，在左上角有它的名称，你要看清楚，指定好网卡之后如果没有其它更改就直接回车,最后选Y回车确认重启。

 

 

4、重启完成后，再次来到主菜单，配置LAN口IP。

 

5、现在就可以通过WEB方式来访问路由了,当然首先要设置好你所在机器的IP，和路由一个IP段就可以了,默认的用户名admin，密码mono,注意不是数字0而是字母o,参观下WEB页面先

 

6、进入系统-常规设置

主机名和域名可以随便写，但必须是E文 DNS中填写你的DNS

建议启用MONOWALL的DNS转发功能，在左侧菜单中 服务设置-DNS转发 中勾选打开DNS转发功能

（注：如果勾选了打开DNS转发功能，请在客户机的DNS中填写M0N0的LAN网卡地址,反之正常填写DNS)

下面的“允许WAN接口通过DHCP/PPP获得的DNS参数覆盖本设置”这一项请根据你当地的情况来决定勾选与否，下面有文字说明，可以很好的帮你理解

其它的项目都能看明白，就不多说了，看需要自行设置。设置完了之后点保存

7、再接下来是WAN的设置，网络接口-WAN

可以看到类型中有5种选择：static（静态IP）、DHCP、PPPOE、PPTP、DIGPOND，这里只说下固定IP的设置，另外需要注意的是，在此页最下面把阻止私有网络给点掉，因为大部分人习惯是设置172或192等内部IP的，如果你内网使用1.1.1.1这样的IP段当我在扯淡 点保存

8、设置路由规则，系统--静态路由-添加一条规则（固定IP的话不加也可以正常使用，但建议是加上），PPPOE用户可以不加，设置完点应用，然后保存设置。

如此，设置就完成了，当然只是简单的初步上网设置。

M0N0是我用过的单线路中最快的软路由，当然这只是依据我个人的使用经验而言，不过它对双线路支持的不好，主要是因为不支持策略路由，即使你勉强做成了，效果也差强人意,如果是双线环境，建议还是另做选择吧.
 

用m0n0与netscreen实现 site to site VPN配置

m0n0端

1. 增加防火墙规则，允许从外部过来的数据进入内网，因为只做测试，所以我将 firewall WAN rule 全开这样比较方便设定：

2. 接下来加入 Route rules

3. 最后设定 VPN 的 Tunnels IPSec：IPSEC VPN配置都在一个页面完成，比较简单

基础配置

 

第一阶段：
  

第二阶段
 

 

    

Netscreen端设置

1、network/Interface 创建新的tunnel口，输入sub-interface号，其他默认，这里为5

2、增加对应静态路由network/routing/Destination，目标192.168.4.0/24 网关为刚刚创建的 tunnel.5

3、VPNs/Autokey Advanced/Gateway 新建VPN网关

Gateway name: monowall

Remote Gateway 选择 static ip address : 218.5.80.15

高级中：

Preshared Key: 123456123

Outgoing Interface : Ethernet 0/2

Security Level 选择 User Defined 自定义：第一阶段 pre-g2-3des-sha

主模式

4、VPNs/AutoKey IKE 新建

VPN Name : monofirewall

Remote Gateway 选择predefined monofirewall

高级中

Security Level 选择 User Defined 自定义 g2-esp-3des-sha

Bind to: Tunnel Interface 之前创建的tunnel.5

下面分别输入双方的IP地址段

172.17.0.0/16   192.168.4.0/24

5、创建对应的policy

Trust -> untrust   172.17.0.0/16 到192.168.4.0/24 允许任意服务

untrust -> trust    192.168.4.0/24 到172.17.0.0/16   允许任意服务

 

测试从m0n0内网客户端pingnetscreen内网可以通了

同时在可以看到ipsec诊断中隧道已经建立了

参考:
http://www.91wp.com/netbar/wbjs/200805/834.html  http://www.sudu.cn/info/html/edu/firewall/20071121/7601.html