Настройка juniper srx route based VPN




Полезная ссылка: О нас и наших клиентах

 

 

Для VPN на основе маршрутизации, решение о направлении пакета в туннель принимается в соответствии с таблицей маршрутизации, после чего происходит обработка пакета приложениями (Firewall, Application Patrol & IDP и Content Filter), а затем производится шифрование и отправка на удаленный хост. В ZyWALL 1050 пакет будет направлен в VPN-туннель, если его адреса источника и назначения подпадают под действие политик маршрутизации и следующим узлом для этого правила является VPN-туннель. Это означает, что пакет будет отправлен в туннель, даже если его адреса источника и назначения не соответствуют указанным в правилах второй фазы критериям (local и remote policy).

 

В данной статье покажем Вам шаги для создания  route based VPN на оборудовании Juniper SRX.

 

Основное различие с маршрута route based VPN является то, что интерфейс туннель создается и присваивается внешнему интерфейсу на оборудовании. Любой трафик, который вы хотите зашифровать направляется на внешний интерфейс. Доступ к и от VPN затем контролируют посредством использования политики.

 

Полезная ссылка: Консультация по настройке оборудования Juniper


Настройка juniper srx route based VPN основные данные :

Удаленная точка : 172.16.200.0/24
Наша точка   : 172.16.100.0/24
Фаза 1             : AES-256,SHA1, DH2
Фаза 2             : ESP, SHA1, AES-256

 

Интерфейс туннеля


set interfaces st0 unit 0 family inet
set security zones security-zone untrust-vpn interfaces st0.0

 

Маршрут


set routing-options static route 172.16.200.0/24 next-hop st0.0

 

Proposals


set security ike proposal IKE-DH2-AES256-SHA1 authentication-method pre-shared-keys
set security ike proposal IKE-DH2-AES256-SHA1 dh-group group2
set security ike proposal IKE-DH2-AES256-SHA1 authentication-algorithm sha1
set security ike proposal IKE-DH2-AES256-SHA1 encryption-algorithm aes-256-cbc
set security ike proposal IKE-DH2-AES256-SHA1 lifetime-seconds 86400

set security ipsec proposal IPSEC-ESP-AES256-SHA1 protocol esp
set security ipsec proposal IPSEC-ESP-AES256-SHA1 authentication-algorithm hmac-sha1-96
set security ipsec proposal IPSEC-ESP-AES256-SHA1 encryption-algorithm aes-256-cbc
set security ipsec proposal IPSEC-ESP-AES256-SHA1 lifetime-seconds 3600


Фаза 1 при создании 


set security ike policy IKE-POLICY-SITEA mode main
set security ike policy IKE-POLICY-SITEA proposals IKE-DH2-AES256-SHA1
set security ike policy IKE-POLICY-SITEA pre-shared-key ascii-text  <PRESHARED KEY>

set security ike gateway IKE-PEER-SITEA IKE-POLICY-SITEA IKE-POLICY-SITEA
set security ike gateway IKE-PEER-SITEA address <PEER IP>
set security ike gateway IKE-PEER-SITEA external-interface fe-0/0/0.0

 

Phase 2


set security ipsec policy IPSEC-POLICY proposals IPSEC-ESP-AES256-SHA1

set security ipsec vpn VPN-SITEA bind-interface st0.0
set security ipsec vpn VPN-SITEA ike gateway IKE-PEER-SITEA
set security ipsec vpn VPN-SITEA ike ipsec-policy IPSEC-POLICY
set security ipsec vpn VPN-SITEA establish-tunnels immediately

 

Policy


set security zones security-zone untrust-vpn address-book address 172.16.200.0/24 172.16.200.0/24
set security zones security-zone trust address-book address 172.16.100.0/24 172.16.100.0/24

set security policies from-zone trust to-zone untrust-vpn policy trust-untrust-vpn match source-address 172.16.100.0/24
set security policies from-zone trust to-zone untrust-vpn policy trust-untrust-vpn match destination-address 172.16.200.0/24
set security policies from-zone trust to-zone untrust-vpn policy trust-untrust-vpn match application any
set security policies from-zone trust to-zone untrust-vpn policy trust-untrust-vpn then permit
set security policies from-zone untrust-vpn to-zone trust policy untrust-trust-vpn match source-address 172.16.200.0/24
set security policies from-zone untrust-vpn to-zone trust policy untrust-trust-vpn match destination-address 172.16.100.0/24
set security policies from-zone untrust-vpn to-zone trust policy untrust-trust-vpn match application any
set security policies from-zone untrust-vpn to-zone trust policy untrust-trust-vpn then permit

 

MSS Clamping


To ensure that the packets do not exceed the MTU of the SRX interfaces (once the additional IPSEC headers are added) MSS clamping is configured.

set security flow tcp-mss ipsec-vpn mss 1350

 

Настройка juniper srx route based VPN



Обновлен 12 июл 2014. Создан 28 фев 2014



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика