Настройка защищенной работы офиса на оборудовании Juniper SRX VPN 210, 220, 240, 650




Полезная ссылка: О нас и наших клиентах

 

 

Juniper SRX VPN Branch Office


 

 Недавно мы начали замену наших устарелых маршрутизаторов Avaya VPN (бывших Nortel Contivity ) на шлюзы серии Juniper SRX. Мы выбрали Juniper SRX 650, чтобы заменить наш Avaya VPN Router 1750, и Juniper SRX 210H, чтобы заменить Avaya VPN Router моделей 1010 и 1050. Было довольно легко установить настройки туннелей на основе маршрутов и туннелей на основе политик и было интересно направлять весь трафик на ветке назад в главный офис (вместо подключения его непосредственно к Интернету на ветке Juniper SRX 210H ), поэтому он может котролироваться нашими корпоративными брандмауэрами и фильтрацией контента. У нас получилось выполнить эту конфигурацию с помощью VRF и я собираюсь рассказать, как мы это сделали (на случай, если кто-то еще попытается это повторить,  или, что еще лучше, может улучшить наши настройки) .


Полезная ссылка: Консультация и заказ настройки Juniper

 

/>


Настроки Juniper SRX 210 Branch Office


Нужно войти в консоль шлюза Juniper SRX с именем "root" (пароль должен быть пустым). Мы начнем конфигурацию путем загрузки заводских установок, а затем установим некоторую основную информацию о системе. Мы добавим пользователя "admin" для использования в будущем.


root@% cli
root> configure
Entering configuration mode
[edit]
load factory-default
set system host-name vpn-srx210h-gw
set system domain-name vpn.acme.org
set system time-zone America/New_York
set system root-authentication plain-text-password
set system login user admin full-name Administrator
set system login user admin uid 100
set system login user admin class super-user
set system login user admin authentication plain-text-password

Установим информацию SNMP, включая ссылки на инстанции маршрутизации "centralized-internet". Это позволит нам выполнить опросы SNMP против этого VRF из конкретных IP рабочих станций управления, перечисленных ниже.

set snmp description "Juniper SRX 210H"
set snmp location "Local Branch Office (Somewhere, USA)"
set snmp contact "Technology Team"
set snmp community readonlystring authorization read-only
set snmp community readonlystring routing-instance centralized-internet clients 10.1.20.50/32
set snmp community readonlystring routing-instance centralized-internet clients 10.2.20.50/32
set snmp community readwritestring authorization read-write
set snmp routing-instance-access
commit

Начнем с настройки WAN (общественных) и LAN (частных) IP-адресов. Интерфейс GE-0/0 является общественным интерфейсом, который будет подключаться к провайдеру Internet Service. Интерфейс vlan.0 является частным интерфейсом, который состоит из физических интерфейсов GE-0/1 - ge0 / 7. Мы также удалим заводской адрес по умолчанию 192.168.1.1.

set interface ge0/0/0 unit 0 family inet address 1.51.88.10/30
set routing-options static route 0.0.0.0/0 next-hop 1.51.88.9
set interface vlan unit 0 family inet address 10.1.200.1/24
delete interfaces vlan unit 0 family inet address 192.168.1.1/24

Включим веб управление GUI на публичном интерфейсе и настроим порт TCP для 10443, вместо 443 по умолчанию.

set system services web-management https interface ge-0/0/0.0
set system services web-management https port 10443

Включим системные службы, которые мы хотим разрешить в Untrust зоне.

set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services https

Повторим те же команды для конкретных публичных интерфейсов.

set security zones security-zone untrust interface ge-0/0/0 host-inbound-traffic system-services ike
set security zones security-zone untrust interface ge-0/0/0 host-inbound-traffic system-services ping
set security zones security-zone untrust interface ge-0/0/0 host-inbound-traffic system-services https

Строим туннельные интерфейсы VPN для Juniper SRX 650. Нам нужно назначить IP-адреса для этих интерфейсов, так как мы настраиваем сеть Point to MultiPoint с туннелями VPN на основе маршрутов.

set interfaces st0 unit 0 family inet address 10.1.255.120/24
set interfaces st0 unit 0 family inet mtu 1500

Заканчиваем создание зон безопасности и добавление интерфейсов VPN.

set security zones security-zone vpn interfaces st0.0
set security zones security-zone untrust interfaces ge-0/0/0.0
set security zones security-zone trust interfaces vlan.0
set security zones security-zone trust host-inbound-traffic system-services all

Не забываем разрешить удаленное управление через веб интерфейс.

 

set security zones security-zone vpn host-inbound-traffic system-services all
set security zones security-zone vpn host-inbound-traffic protocols all
set system services web-management http interface st0.0

Настраиваем политику IKE и ранее получен ключ для обоих VPN туннелей, пожалуйста, убедитесь, что Вы заменили предварительный ключ и IP-адресации ниже на значения вашей установки. Я использую акроним PDC, который значит основной центр обработки данных (Primary Data Center), так как у нас есть и первичный и альтернативный / резерв.

set security ike policy PDC-IKE mode main
set security ike policy PDC-IKE proposal-set standard
set security ike policy PDC-IKE pre-shared-key ascii-text "c3DrmFiRei37NpW65GnygdOorykE0ZjnpyX"
set security ike gateway PDC-GW ike-policy PDC-IKE
set security ike gateway PDC-GW address 2.1.1.25
set security ike gateway PDC-GW external-interface ge-0/0/0.0
 
set security ipsec policy ACME-VPN proposal-set standard
set security ipsec policy ACME-VPN perfect-forward-secrecy keys group2
 
set security ipsec vpn PDC-VPN ike gateway PDC-GW
set security ipsec vpn PDC-VPN ike ipsec-policy ACME-VPN
set security ipsec vpn PDC-VPN bind-interface st0.0
set security ipsec vpn PDC-VPN establish-tunnels immediately

Juniper SRX еще действует в качестве межсетевого экрана, поэтому мы должны создать политики, чтобы позволить прохождение трафика. Я все открыл для этого примера.

edit security policies from-zone trust to-zone vpn
set policy local-to-spokes match source-address any
set policy local-to-spokes match destination-address any
set policy local-to-spokes match application any
set policy local-to-spokes then permit
exit
 
edit security policies from-zone vpn to-zone trust
set policy local-to-spokes match source-address any
set policy local-to-spokes match destination-address any
set policy local-to-spokes match application any
set policy local-to-spokes then permit
exit
 
edit security policies from-zone vpn to-zone vpn
set policy local-to-spokes match source-address any
set policy local-to-spokes match destination-address any
set policy local-to-spokes match application any
set policy local-to-spokes then permit
exit

Мы создадим виртуальный экземпляр маршрутизации при настройке односкачкового интерфейса st0.0

set routing-options interface-routes rib-group inet centralized
set routing-options rib-groups centralized import-rib inet.0
set routing-options rib-groups centralized import-rib centralized-internet.inet.0

Мы создадим виртуальный экземпляр маршрутизации при настройке односкачкового интерфейса st0.0

set routing-instances centralized-internet instance-type virtual-router
set routing-instances centralized-internet interface st0.0
set routing-instances centralized-internet routing-options static route 0.0.0.0/0 next-hop st0.0

Этот фильтр будет направлять весь трафик в централизированную Интернет таблицу маршрутизации. Первый терм (term) позволяет добавить исключение, хотя он не используется сегодня, но может использоваться для тестирования и устранения неисправностей путем изменения IP-адреса на действительный LAN IP-адрес клиента. Этот фильтр позволяет трафику от 10.1.200.254 работать на основе экземпляра маршрутизации по умолчанию, который будет отправлять его непосредственно в Интернет, в отличие от маршрутизации его через VPN туннель обратно в главный офис.

set firewall filter centralized-internet-filter term 1 from destination-address 10.1.200.254/32
set firewall filter centralized-internet-filter term 1 then accept
set firewall filter centralized-internet-filter term 2 then routing-instance centralized-internet

Мы применим фильтр, который мы создали выше, для движения трафика в сторону интерфейса vlan.0.

set interface vlan unit 0 family inet filter input centralized-internet-filter

Настраиваем экземпляр реле DHCP, чтобы направить DHCP запросы на центральный сервер (10.1.1.40).

set forwarding-options helpers bootp relay-agent-option
set forwarding-options helpers bootp description "Branch DHCP Relay"
set forwarding-options helpers bootp server 10.1.1.40 routing-instance centralized-internet
set forwarding-options helpers bootp vpn
set forwarding-options helpers bootp interface vlan.0

Настраиваем значение TCP-MSS, чтобы не иметь проблем MTU, туннелируя через IPSec

set security flow tcp-mss ipsec-vpn mss 1350

Настраиваем параметры отладки, чтобы мы могли устранить любые проблемы IKE / IPsec.

set security ike traceoptions file size 1m
set security ike traceoptions flag policy-manager
set security ike traceoptions flag ike
set security ike traceoptions flag routing-socket

Мы должны отключить IDP для предотвращения нежелательных сообщений об ошибках после заполнения журнала.

set system processes idp-policy disable

Теперь нам нужно зафиксировать и сохранить все изменения, которые мы сделали выше.

commit

Если у вас возникли проблемы с фиксацией изменений и ошибки такие как:

root# commit
[edit system]
'autoinstallation'
incompatible with 'forwarding-options helpers bootp'
[edit forwarding-options helpers]
'bootp'
incompatible with 'system autoinstallation'
error: commit failed: (statements constraint check failed)

Просто введите следующую команду и зафиксируйте снова

root# delete system autoinstallation

Если вы подключены к Интернету общего пользования, вы можете синхронизировать дату / время через NTP с публичным интерфейсом.

root# set date ntp 173.9.142.98

Настройка the Juniper SRX 650 Main Office

Теперь нам нужно настроить Juniper SRX 650, который является главной офис стороной туннеля.

Создаем политику IKE для этого конкретного соединения. Пожалуйста, не забудьте заменить предварительный ключ и IP-адреса, который я использую в примере ниже.

set security ike policy TESTLAB-IKE mode main
set security ike policy TESTLAB-IKE proposal-set standard
set security ike policy TESTLAB-IKE pre-shared-key ascii-text "c3DrmFiRei37NpW65GnygdOorykE0ZjnpyX"

Создаем шлюз и свяжем его с нашей политикой IKE. Установим общественный IP-адрес на ветке офиса VPN сайта.

set security ike gateway TESTLAB-GW ike-policy TESTLAB-IKE
set security ike gateway TESTLAB-GW address 1.51.88.10
set security ike gateway TESTLAB-GW external-interface ge-0/0/0.0

Создаем политику VPN и связываем все политики с st0.10, который является многоточечным интерфейсом со стороны главного офиса.

set security ipsec vpn TESTLAB-VPN ike gateway TESTLAB-GW
set security ipsec vpn TESTLAB-VPN ike ipsec-policy ACME-VPN
set security ipsec vpn TESTLAB-VPN bind-interface st0.10
set security ipsec vpn TESTLAB-VPN establish-tunnels immediately

Поскольку мы еще не делаем OSPF, нам нужно создать статический маршрут в соответствующей инстанции маршрутизации.

set routing-instances routing-table-lan routing-options static route 10.1.200.1/24 next-hop 10.1.220.10

Я опустил несколько шагов на Juniper SRX 650 для осуществления функции Multipoint VPN, но об этом хорошо рассказано в документации Juniper.



Обновлен 12 июл 2014. Создан 02 апр 2014



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика