Configure uma VPN IPsec
Metas de projeto de VPN IPSec
Sua VPN IPsec deve atender a esses critérios:
- Configure uma VPN IPsec dinâmica para dar suporte à atribuição de endereço DHCP à interface WAN pelo provedor de serviços de Internet.
- Garanta que apenas o tráfego originado na zona de confiança seja capaz de usar o túnel IPsec.
- Garanta que apenas o tráfego destinado à sub-rede 172.168.200.0/24 use o túnel IPsec.
Valor do parâmetro | |
---|---|
Interface de túnel | st0 |
IP do túnel de filial | 10.0.0.1/24 |
IP de túnel corporativo | 10.0.0.2/24 |
Proposta do IKE | Padrão |
Modo IKE | Agressivo |
Chave pré-compartilhada | "srx_branch" |
Estabelecimento de túnel | Imediatamente |
Identidade de filial | Ramo |
Identidade corporativa | Hq |
Zona de segurança de túnel | Vpn |
Configure uma VPN IPsec baseada em rotas
Vamos configurar uma VPN IPsec!
- Faça login como raiz no console do dispositivo. Inicie a CLI e insira o modo de configuração.
login: branch_srx (ttyu0) root@branch_srx% cli root@branch_srx> configure Entering configuration mode [edit] root@branch_srx#
- Configure a interface do túnel st0. Um túnel sem números é suportado neste cenário. Aqui, optamos por numerar os pontos finais do túnel. Um benefício da numeração do túnel é permitir o teste de ping dos pontos finais do túnel para ajudar a depurar quaisquer problemas de conectividade.
[edit] root@branch_srx# set interfaces st0 unit 0 family inet address 10.0.0.1/24
- Defina uma rota estática para tráfego direto destinado a 172.16.200.0/24 no túnel IPsec.
[edit] root@branch_srx# set routing-options static route 172.16.200.0/24 next-hop st0.0
- Configure os parâmetros IKE. Os parâmetros de identidade local e identidade remota são importantes para oferecer suporte a uma VPN IPsec dinâmica. Quando endereços IP estáticos são usados, você define um gateway IKE local e remoto especificando esses endereços IP estáticos.
A propósito, estaremos configurando coisas de segurança por um tempo para que você se estacione na
[edit security]
hierarquia:[edit security] root@branch_srx# set ike proposal standard authentication-method pre-shared-keys root@branch_srx# set ike policy ike-pol mode aggressive root@branch_srx# set ike policy ike-pol proposals standard root@branch_srx# set ike policy ike-pol pre-shared-key ascii-text branch_srx root@branch_srx# set ike gateway ike-gw ike-policy ike-pol root@branch_srx# set ike gateway ike-gw address 172.16.1.1 root@branch_srx# set ike gateway ike-gw local-identity hostname branch root@branch_srx# set ike gateway ike-gw remote-identity hostname hq root@branch_srx# set ike gateway ike-gw external-interface ge-0/0/0
Nota:Para dar suporte a uma VPN IPsec dinâmica, a extremidade remota deve ter a
set security ike gateway ike-gw dynamic hostname <name>
declaração configurada na proposta do IKE. Quando a extremidade remota inicia uma conexão, o nome é usado para combinar com a proposta do IKE em vez de um IP. Esse método é usado quando endereços IP podem mudar devido à atribuição dinâmica. - Configure os parâmetros do túnel IPsec.
[edit security] root@branch_srx# set ipsec proposal standard root@branch_srx# set ipsec policy ipsec-pol proposals standard root@branch_srx# set ipsec vpn to_hq bind-interface st0.0 root@branch_srx# set ipsec vpn to_hq ike gateway ike-gw root@branch_srx# set ipsec vpn to_hq ike ipsec-policy ipsec-pol root@branch_srx# set ipsec vpn to_hq establish-tunnels immediately
- Ajuste as políticas de segurança para criar uma vpn zona e permitir que o trust tráfego flua da zona para a vpn zona. Configuramos a zona para permitir que o vpn ping vinculado ao host seja usado na depuração, já que optamos por numerar nosso túnel IPsec. Nesta etapa, você também coloca a interface de túnel IPsec na vpn zona.
[edit security] root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match application any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn then permit root@branch_srx# set security zones security-zone vpn host-inbound-traffic system-services ping root@branch_srx# set zones security-zone vpn interfaces st0.0
Nota:Neste exemplo, mantemos a simplez e combinamos com qualquer endereço IP de origem ou destino. Contamos com a rota estática para apenas direcionar o tráfego destinado ao local remoto para o túnel. Para obter uma melhor segurança, considere definir as entradas do livro de endereços para as sub-redes 192.168.2.0/24 locais e as sub-redes remotas 172.16.200.0/24. Com entradas de livros de endereço definidas para as duas sub-redes, você combina
source-address <source_name>
dentro edestination-address <dest_name>
em sua política de segurança. Incluir as sub-redes de origem e destino em sua política o torna muito mais explícito quanto ao tráfego que é capaz de usar o túnel. - Espere aí, você está quase pronto. Lembre-se que a IKE é usada para negociar as chaves compartilhadas para proteger o túnel IPsec. As mensagens IKE devem ser enviadas e recebidas pela interface wan para estabelecer o túnel na interface st0.
Você precisará modificar os serviços de host locais acessíveis na interface WAN para incluir o untrust IKE.
[edit security] root@branch_srx# set zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike
É isso. Você configurou a VPN baseada em rotas IPsec no local da filial. Certifique-se de confirmar suas mudanças.
Resultados
Vamos exibir o resultado de sua configuração VPN baseada em rotas IPsec. Omitemos partes da configuração padrão para brevidade.
[edit] root@branch-srx# show interfaces st0 unit 0 { family inet { address 10.0.0.1/24; } } [edit] root@branch-srx# show routing-options static { route 172.16.200.0/24 next-hop st0.0; } ike { proposal standard { authentication-method pre-shared-keys; } policy ike-pol { mode aggressive; proposals standard; pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39"; ## SECRET-DATA } gateway ike-gw { ike-policy ike-pol; address 172.16.1.1; local-identity hostname branch; remote-identity hostname hq; external-interface ge-0/0/0; } } ipsec { proposal standard; policy ipsec-pol { proposals standard; } vpn to_hq { bind-interface st0.0; ike { gateway ike-gw; ipsec-policy ipsec-pol; } establish-tunnels immediately; } } . . . policies { . . . from-zone trust to-zone vpn { policy trust-to-vpn { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { .. security-zone untrust { screen untrust-screen; interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { . . . ike; . . . } } } } } . . . security-zone vpn { host-inbound-traffic { system-services { ping; } } interfaces { st0.0; } } }
Certifique-se de comprometer sua configuração para ativar as mudanças em seu SRX.
Configurações rápidas
Configuração rápida: Filial
Para configurar rapidamente uma VPN IPsec, use as seguintes set
declarações. Basta editar as declarações de configuração conforme necessário para o seu ambiente e cole-as em seu SRX.
Aqui está a configuração de VPN IPsec para o dispositivo da Linha SRX300 no local da filial:
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw address 172.16.1.1 set security ike gateway ike-gw local-identity hostname branch set security ike gateway ike-gw remote-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/0 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces st0 unit 0 family inet address 10.0.0.1/24 set routing-options static route 172.16.200.0/24 next-hop st0.0
Configuração rápida: localização remota
Para completar, aqui está a configuração rápida de VPN IPsec correspondente para o site remoto. É semelhante ao que detalhamos para a filial. As principais diferenças são que usamos a dynamic hostname
declaração e um destino diferente para a rota estática usada para direcionar o tráfego para o túnel. Permitimos ping na vpn zona no local remoto. Como resultado, você encontra os endpoints do túnel (nós numeramos nosso túnel), bem como a interface de loopback. A interface de loopback no local remoto representa a sub-rede 172.16.200.0/24. A interface lo0 do site remoto é colocada na vpn zona.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$1POEhrKMX7NbSrvLXNY2puORyKWLN-wg" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw dynamic hostname branch set security ike gateway ike-gw local-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/6 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ping set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn interfaces lo0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces lo0 unit 0 family inet address 172.16.200.1/32 set interfaces st0 unit 0 family inet address 10.0.0.2/24 set routing-options static route 192.168.2.0/24 next-hop st0.0
Certifique-se de confirmar as mudanças. Na próxima seção, mostraremos como verificar se seu túnel IPsec funciona corretamente.