Хвостат Хвостатыч (hvostat_hvostat) wrote,
Хвостат Хвостатыч
hvostat_hvostat

Конфиг IPSec VPN

Писал для себя краткий конспект лекции и заодно шпаргалку по настройке IPsec VPN.
Малосъедобно для посторонних.



Ike two phases:
1 - edit security ike
2 - edit security ipsec

------------------------------

1) tunnel interface st0.n n=unit number
2) bind VPN
3) configure routing

!!! host-inbound traffic must be enabled for ike

------------------------------

Overview:

SRX-a
Внутренняя сеть a: 10.1.1.0/24
IP-адрес, назначенный провайдером: 1.1.1.2/30


SRX-b
Внутренняя сеть b: 10.2.2.0/24
IP-адрес, назначенный провайдером: 2.2.2.1/30

Создаём виртуальный интерфейс для VPN:
set interfaces st0 unit 0 family inet address 172.16.0.1/30
Адресацию и маску подбираем в зависимости от архитектуры сети.
!!! Учесть возможность развития !!!

------------------------------
Настройка: IKE Phase 1

edit

set security ike proposal IKE-PROP lifetime-seconds 3600
set security ike proposal IKE-PROP authentication-method pre-shared-keys
set security ike proposal IKE-PROP authentication-algorithm sha1
set security ike proposal IKE-PROP encryption-algorithm aes-128-cbc
set security ike proposal IKE-PROP dh-group group5

set security ike policy IKE-POL proposals IKE-PROP
set security ike policy IKE-POL mode main
set security ike policy IKE-POL pre-shared-key ascii-text Pa$$w0rd

set security ike gateway IKE-GW ike-policy IKE-POL
set security ike gateway IKE-GW address 2.2.2.2
// 2.2.2.2 - адрес УДАЛЕННОГО хоста
set security ike gateway IKE-GW external-interface ge-0/0/3.0
set security zones security-zone Untrust host-inbound-traffic system-services ike

------------------------------

Настройка IKE Phase 2

set security ipsec proposal IPSEC-PROP lifetime-seconds 3600
set security ipsec proposal IPSEC-PROP protocol esp
set security ipsec proposal IPSEC-PROP authentication-algorithm hmac-sha1-96
set security ipsec proposal IPSEC-PROP encryption-algorithm aes-128-cbc

set security ipsec policy IPSEC-POL proposals IPSEC-PROP
set security ipsec policy IPSEC-POL perfect-forward-secrecy keys group5

set security ipsec vpn IPSEC-VPN ike gateway IKE-GW
set security ipsec vpn IPSEC-VPN ike ipsec-policy IPSEC-POL
set security ipsec vpn IPSEC-VPN vpn-monitor
// пингует "брата" на другом конце, чтобы выяснить, живой/дохлый
set security ipsec vpn IPSEC-VPN establish-tunnels immediatly
// устанавливаем тоннель немедленно, не ждём трафика

set security ipsec vpn IPSEC-VPN bind-interface st0.1

------------------------------

Привязка интерфейсов и маршрутизация:

set interfaces st0 unit 1 family inet
set security zones security-zone VPN interfaces st0.1
set routing options static route 10.2.2.0/24 next-hop st0.1

------------------------------

Security policy

Настрока address book для обоих маршрутизаторов:
set security address-book global address network-a 10.1.1.0/24
set security address-book global address network-b 10.2.2.0/24

Настройка security policies:
для А:
set security policies from-zone Trust to-zone VPN policy Trust-to-VPN match source-address network-a destination address Network-B application any
set security policies from-zone Trust to-zone VPN policy Trust-to-VPN then permit

set security policies from-zone VPN to-zone Trust policy VPN-to-Trust match source-address network-a destination address Network-A application any
set security policies from-zone VPN to-zone Trust policy VPN-to-Trust then permit


для B:
set security policies from-zone Trust to-zone VPN policy Trust-to-VPN match source-address network-b destination address-network-a application any
set security policies from-zone Trust to-zone VPN policy Trust-to-VPN then permit

set security policies from-zone VPN to-zone Trust policy VPN-to-Trust match source-address network-a destination address-network-b application any
set security policies from-zone VPN to-zone Trust policy VPN-to-Trust then permit



//мы разрешаем всем хостам из сети А связываться с сетью Б в двух направлениях

commit

------------------------------

Верификация кривизны радиуса рук:

show security ike security-associations

show security ipsec security-associations

show security ipsec statistics

show route


_
Tags: config, ipsec, juniper, srx, vpn
Subscribe

  • "Door bolt"

    Столкнулся недавно с неприятной ситуацией - меня пытались взломать. В ответ на проблему возникла идея, которая совершенно не сложно реализуется.…

  • "Можжевельники, watchdog-и и кирпичи"

    Добрый день, коллеги. Мы продолжаем наш увлекательный цикл радиопердач по изучению продуктов жизнедеятельности индусов. Сегодня в студии у нас…

  • "JunOS и вебморда. Традиции и современность."

    Здравствуйте, уважаемые коллеги! С пятницей вас! Сейчас я расскажу вам о традициях и современном состоянии веб-интерфейса в JunOS v. 20.3R1.…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments