首先設置一臺防火墻有固定的IP地址，許可其他客戶端（可變化獲得的IP地址）來通過VPN安全通道訪問防火墻后面的內部網絡。在防火墻上先定義好一些VPN Dialup user用戶。有三種類型的訪問方式：⑴手工生成鑰匙通道，⑵自動生成鑰匙IKE通道（預共享密鑰或認證）⑶動態點到內網VPN訪問，自動生成鑰匙IKE通道（預共享密鑰或認證）。

舉例子如下
===========

1． 基于策略的手工生成鑰匙通道，撥到內網的VPN訪問：
該VPN通道采用3DES數據加密和SHA-1的認證。順序是-->網絡接口-->對象地址-->對象用戶(Manual Key)---**利用敲入的密碼會生成16進制的串，這些串將被拷貝到Netscreen Remote客戶端軟件中用來配置好這個VPN通道使之可以使用。-->網絡路由，路由表，Trust-vr接口生成新的條目—地址是0.0.0.0/0，網關選擇到Untrust口,IP地址為Untrust接口IP地址的后一個地址（如果Untrust口地址是通過PPPoE自動獲得的，可先查看并記錄下），-->策略，從不可信口到可信口方向，新建一條策略,源地址為Dialup VPN

2． 基于策略的自動生成IKE，撥到內網的VPN訪問：
（實驗環境：NS5XP防火墻軟件版本4.0.R6，NSRemote 5.1.3）。在防火墻上設置：在對象用戶組中建立一個本地用戶(wang)，類型為IKE，用Email地址(例如 wang@51cto.com)作為簡單標識該用戶；在VPN的AUTOKEY高級欄的GATEWAY中，新建一個‘從用戶名到NSRemote’的網關，其安全LEVEL為自定義，Remote Gateway 的類型為撥號用戶wang；敲入預共享的密碼（字符串大于8個），然后在高級選項中配置（安全LEVEL為CUSTOM，Phase 1 Proposal為pre-g2-3des-sha，模式為Aggressive）；最后創建一條從UNTRUST到TRUST口的訪問策略，允許從外部撥號到內部網絡的指定機器，選上Position at top。   在NS Remote軟件上，主要設好：UNTRUST口地址；標識Email地址；模式為Aggressive；預共享密碼和防火墻端一樣；認證中3des-sha1-g2；交換KEY中新建3中另外可能的組合（在DES，3DES，SHA，MD5之間組合）

1. set interface ethernet1 zone trust
2. set interface ethernet1 ip 172.30.5.1/24
3. set interface ethernet3 zone untrust
4. set interface ethernet3 ip 203.10.20.1/24
5. set address trust unix 172.30.5.6/32
6. set user wendy ike-id u-fqdn wparker@email.com
7. Preshared Key:
set ike gateway wendy-nsr dialup wendy aggressive outgoing-interface ethernet3 preshare h1p8a24ng proposal pre-g2-3des-sha
set vpn wendy_unix gateway wendy_nsr sec-level compatible
(or)
Certificates:
set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3 proposal rsa-g2-3des-sha-1
set ike gateway wendy_nsr cert peer-ca 1 
set ike gateway wendy_nsr cert peer-cert-type x509-sig
set vpn wendy_unix gateway wendy_nsr sec-level compatible
8. set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 203.10.20.2
9. set policy top from untrust to trust “Dial-Up VPN” unix any tunnel vpn wendy_unix
10. save

3． NetScreen Remote軟件端的設置：
1. Option>secure>specified Connections
2. Add a new connection, Type Unix next to the new connection icon appears
3. Configure the connection options:
connection security:secure
Remote part ID type: IP address
IP address: 172.30.5.6
Connect using secure Gateway Tunnel: (select)
ID type : IP address; xxx.10.20.1  // 防火墻上的UNTRUST口的地址
4. 點開+號，展開策略內容：
在 My Identity中 填入preshare Key為 h1p8a24ng 并在ID type 選Email Address 寫上 wparker@email.com 或者 在certificate 下拉列表中 選 一個證書 ID type類型為 E-mail Address
5. 到security policy圖標，選 Aggressive Mode
6. 點開 Authentication (phase 1)>proposal 1 并選擇Triple DES 和 SHA-1 和 Diffie-Hellman Group 2
7. 點開 Key exchange(phase 2) > proposal 1 選擇以下的IPSec協議：選中ESP后 Triple DES 和 SHA-1 和Tunnel 封裝；再新建立3種另外組合，
8. 點擊 save

設置完畢后就可以從撥號端訪問內網了。