Хвостат Хвостатыч (hvostat_hvostat) wrote,
Хвостат Хвостатыч
hvostat_hvostat

Конфиг IPSec VPN

Писал для себя краткий конспект лекции и заодно шпаргалку по настройке IPsec VPN.
Малосъедобно для посторонних.



Ike two phases:
1 - edit security ike
2 - edit security ipsec

------------------------------

1) tunnel interface st0.n n=unit number
2) bind VPN
3) configure routing

!!! host-inbound traffic must be enabled for ike

------------------------------

Overview:

SRX-a
Внутренняя сеть a: 10.1.1.0/24
IP-адрес, назначенный провайдером: 1.1.1.2/30


SRX-b
Внутренняя сеть b: 10.2.2.0/24
IP-адрес, назначенный провайдером: 2.2.2.1/30

Создаём виртуальный интерфейс для VPN:
set interfaces st0 unit 0 family inet address 172.16.0.1/30
Адресацию и маску подбираем в зависимости от архитектуры сети.
!!! Учесть возможность развития !!!

------------------------------
Настройка: IKE Phase 1

edit

set security ike proposal IKE-PROP lifetime-seconds 3600
set security ike proposal IKE-PROP authentication-method pre-shared-keys
set security ike proposal IKE-PROP authentication-algorithm sha1
set security ike proposal IKE-PROP encryption-algorithm aes-128-cbc
set security ike proposal IKE-PROP dh-group group5

set security ike policy IKE-POL proposals IKE-PROP
set security ike policy IKE-POL mode main
set security ike policy IKE-POL pre-shared-key ascii-text Pa$$w0rd

set security ike gateway IKE-GW ike-policy IKE-POL
set security ike gateway IKE-GW address 2.2.2.2
// 2.2.2.2 - адрес УДАЛЕННОГО хоста
set security ike gateway IKE-GW external-interface ge-0/0/3.0
set security zones security-zone Untrust host-inbound-traffic system-services ike

------------------------------

Настройка IKE Phase 2

set security ipsec proposal IPSEC-PROP lifetime-seconds 3600
set security ipsec proposal IPSEC-PROP protocol esp
set security ipsec proposal IPSEC-PROP authentication-algorithm hmac-sha1-96
set security ipsec proposal IPSEC-PROP encryption-algorithm aes-128-cbc

set security ipsec policy IPSEC-POL proposals IPSEC-PROP
set security ipsec policy IPSEC-POL perfect-forward-secrecy keys group5

set security ipsec vpn IPSEC-VPN ike gateway IKE-GW
set security ipsec vpn IPSEC-VPN ike ipsec-policy IPSEC-POL
set security ipsec vpn IPSEC-VPN vpn-monitor
// пингует "брата" на другом конце, чтобы выяснить, живой/дохлый
set security ipsec vpn IPSEC-VPN establish-tunnels immediatly
// устанавливаем тоннель немедленно, не ждём трафика

set security ipsec vpn IPSEC-VPN bind-interface st0.1

------------------------------

Привязка интерфейсов и маршрутизация:

set interfaces st0 unit 1 family inet
set security zones security-zone VPN interfaces st0.1
set routing options static route 10.2.2.0/24 next-hop st0.1

------------------------------

Security policy

Настрока address book для обоих маршрутизаторов:
set security address-book global address network-a 10.1.1.0/24
set security address-book global address network-b 10.2.2.0/24

Настройка security policies:
для А:
set security policies from-zone Trust to-zone VPN policy Trust-to-VPN match source-address network-a destination address Network-B application any
set security policies from-zone Trust to-zone VPN policy Trust-to-VPN then permit

set security policies from-zone VPN to-zone Trust policy VPN-to-Trust match source-address network-a destination address Network-A application any
set security policies from-zone VPN to-zone Trust policy VPN-to-Trust then permit


для B:
set security policies from-zone Trust to-zone VPN policy Trust-to-VPN match source-address network-b destination address-network-a application any
set security policies from-zone Trust to-zone VPN policy Trust-to-VPN then permit

set security policies from-zone VPN to-zone Trust policy VPN-to-Trust match source-address network-a destination address-network-b application any
set security policies from-zone VPN to-zone Trust policy VPN-to-Trust then permit



//мы разрешаем всем хостам из сети А связываться с сетью Б в двух направлениях

commit

------------------------------

Верификация кривизны радиуса рук:

show security ike security-associations

show security ipsec security-associations

show security ipsec statistics

show route


_
Tags: config, ipsec, juniper, srx, vpn
Subscribe

  • "Буквы q l k v в Putty вместо линий"

    Проблема: В псевдографическом интерфейсе в Putty вместо вертикальных и/или горизонтальных линий видны буквы q, l итд. Решение: 1) Открываем…

  • "SSL-ный чпок"

    Задача: Иногда, для тестов и/или лабораторной работы надо быстро сделать SSL-ный самоподпис. Ограничения: так как домен сугубо для внутреннего…

  • "Ненависти firewalld псто"

    Поступила задача: раздеплоить мелкое веб-приложение на CentOS. Ради Бога: git pull Правка YAML-я (кстати, пусть тот, кто придумал этот формат -…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments