Configure uma VPN IPsec
Metas de projeto de VPN IPSec
Sua VPN IPsec deve atender a esses critérios:
- Configure uma VPN IPsec dinâmica para dar suporte à atribuição de endereço DHCP à interface WAN pelo provedor de serviços de Internet.
- Garanta que apenas o tráfego originado na zona de confiança seja capaz de usar o túnel IPsec.
- Garanta que apenas o tráfego destinado à sub-rede 172.168.200.0/24 use o túnel IPsec.
| Valor do parâmetro | |
|---|---|
| Interface de túnel | st0 |
| IP do túnel de filial | 10.0.0.1/24 |
| IP de túnel corporativo | 10.0.0.2/24 |
| Proposta do IKE | Padrão |
| Modo IKE | Agressivo |
| Chave pré-compartilhada | "srx_branch" |
| Estabelecimento de túnel | Imediatamente |
| Identidade de filial | Ramo |
| Identidade corporativa | Hq |
| Zona de segurança de túnel | Vpn |
Configure uma VPN IPsec baseada em rotas
Vamos configurar uma VPN IPsec!
- Faça login como raiz no console do dispositivo. Inicie a CLI e insira o modo de configuração.
login: branch_srx (ttyu0) root@branch_srx% cli root@branch_srx> configure Entering configuration mode [edit] root@branch_srx#
- Configure a interface do túnel st0. Um túnel sem números é suportado neste cenário. Aqui, optamos por numerar os pontos finais do túnel. Um benefício da numeração do túnel é permitir o teste de ping dos pontos finais do túnel para ajudar a depurar quaisquer problemas de conectividade.
[edit] root@branch_srx# set interfaces st0 unit 0 family inet address 10.0.0.1/24
- Defina uma rota estática para tráfego direto destinado a 172.16.200.0/24 no túnel IPsec.
[edit] root@branch_srx# set routing-options static route 172.16.200.0/24 next-hop st0.0
- Configure os parâmetros IKE. Os parâmetros de identidade local e identidade remota são importantes para oferecer suporte a uma VPN IPsec dinâmica. Quando endereços IP estáticos são usados, você define um gateway IKE local e remoto especificando esses endereços IP estáticos.
A propósito, estaremos configurando coisas de segurança por um tempo para que você se estacione na
[edit security]hierarquia:[edit security] root@branch_srx# set ike proposal standard authentication-method pre-shared-keys root@branch_srx# set ike policy ike-pol mode aggressive root@branch_srx# set ike policy ike-pol proposals standard root@branch_srx# set ike policy ike-pol pre-shared-key ascii-text branch_srx root@branch_srx# set ike gateway ike-gw ike-policy ike-pol root@branch_srx# set ike gateway ike-gw address 172.16.1.1 root@branch_srx# set ike gateway ike-gw local-identity hostname branch root@branch_srx# set ike gateway ike-gw remote-identity hostname hq root@branch_srx# set ike gateway ike-gw external-interface ge-0/0/0
Nota:Para dar suporte a uma VPN IPsec dinâmica, a extremidade remota deve ter a
set security ike gateway ike-gw dynamic hostname <name>declaração configurada na proposta do IKE. Quando a extremidade remota inicia uma conexão, o nome é usado para combinar com a proposta do IKE em vez de um IP. Esse método é usado quando endereços IP podem mudar devido à atribuição dinâmica. - Configure os parâmetros do túnel IPsec.
[edit security] root@branch_srx# set ipsec proposal standard root@branch_srx# set ipsec policy ipsec-pol proposals standard root@branch_srx# set ipsec vpn to_hq bind-interface st0.0 root@branch_srx# set ipsec vpn to_hq ike gateway ike-gw root@branch_srx# set ipsec vpn to_hq ike ipsec-policy ipsec-pol root@branch_srx# set ipsec vpn to_hq establish-tunnels immediately
- Ajuste as políticas de segurança para criar uma vpn zona e permitir que o trust tráfego flua da zona para a vpn zona. Configuramos a zona para permitir que o vpn ping vinculado ao host seja usado na depuração, já que optamos por numerar nosso túnel IPsec. Nesta etapa, você também coloca a interface de túnel IPsec na vpn zona.
[edit security] root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match application any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn then permit root@branch_srx# set security zones security-zone vpn host-inbound-traffic system-services ping root@branch_srx# set zones security-zone vpn interfaces st0.0
Nota:Neste exemplo, mantemos a simplez e combinamos com qualquer endereço IP de origem ou destino. Contamos com a rota estática para apenas direcionar o tráfego destinado ao local remoto para o túnel. Para obter uma melhor segurança, considere definir as entradas do livro de endereços para as sub-redes 192.168.2.0/24 locais e as sub-redes remotas 172.16.200.0/24. Com entradas de livros de endereço definidas para as duas sub-redes, você combina
source-address <source_name>dentro edestination-address <dest_name>em sua política de segurança. Incluir as sub-redes de origem e destino em sua política o torna muito mais explícito quanto ao tráfego que é capaz de usar o túnel. - Espere aí, você está quase pronto. Lembre-se que a IKE é usada para negociar as chaves compartilhadas para proteger o túnel IPsec. As mensagens IKE devem ser enviadas e recebidas pela interface wan para estabelecer o túnel na interface st0.
Você precisará modificar os serviços de host locais acessíveis na interface WAN para incluir o untrust IKE.
[edit security] root@branch_srx# set zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike
É isso. Você configurou a VPN baseada em rotas IPsec no local da filial. Certifique-se de confirmar suas mudanças.
Resultados
Vamos exibir o resultado de sua configuração VPN baseada em rotas IPsec. Omitemos partes da configuração padrão para brevidade.
[edit]
root@branch-srx# show interfaces st0
unit 0 {
family inet {
address 10.0.0.1/24;
}
}
[edit]
root@branch-srx# show routing-options
static {
route 172.16.200.0/24 next-hop st0.0;
}
ike {
proposal standard {
authentication-method pre-shared-keys;
}
policy ike-pol {
mode aggressive;
proposals standard;
pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39"; ## SECRET-DATA
}
gateway ike-gw {
ike-policy ike-pol;
address 172.16.1.1;
local-identity hostname branch;
remote-identity hostname hq;
external-interface ge-0/0/0;
}
}
ipsec {
proposal standard;
policy ipsec-pol {
proposals standard;
}
vpn to_hq {
bind-interface st0.0;
ike {
gateway ike-gw;
ipsec-policy ipsec-pol;
}
establish-tunnels immediately;
}
}
. . .
policies {
. . .
from-zone trust to-zone vpn {
policy trust-to-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
..
security-zone untrust {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
. . .
ike;
. . .
}
}
}
}
}
. . .
security-zone vpn {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
st0.0;
}
}
}
Certifique-se de comprometer sua configuração para ativar as mudanças em seu SRX.
Configurações rápidas
Configuração rápida: Filial
Para configurar rapidamente uma VPN IPsec, use as seguintes set declarações. Basta editar as declarações de configuração conforme necessário para o seu ambiente e cole-as em seu SRX.
Aqui está a configuração de VPN IPsec para o dispositivo da Linha SRX300 no local da filial:
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw address 172.16.1.1 set security ike gateway ike-gw local-identity hostname branch set security ike gateway ike-gw remote-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/0 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces st0 unit 0 family inet address 10.0.0.1/24 set routing-options static route 172.16.200.0/24 next-hop st0.0
Configuração rápida: localização remota
Para completar, aqui está a configuração rápida de VPN IPsec correspondente para o site remoto. É semelhante ao que detalhamos para a filial. As principais diferenças são que usamos a dynamic hostname declaração e um destino diferente para a rota estática usada para direcionar o tráfego para o túnel. Permitimos ping na vpn zona no local remoto. Como resultado, você encontra os endpoints do túnel (nós numeramos nosso túnel), bem como a interface de loopback. A interface de loopback no local remoto representa a sub-rede 172.16.200.0/24. A interface lo0 do site remoto é colocada na vpn zona.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$1POEhrKMX7NbSrvLXNY2puORyKWLN-wg" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw dynamic hostname branch set security ike gateway ike-gw local-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/6 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ping set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn interfaces lo0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces lo0 unit 0 family inet address 172.16.200.1/32 set interfaces st0 unit 0 family inet address 10.0.0.2/24 set routing-options static route 192.168.2.0/24 next-hop st0.0
Certifique-se de confirmar as mudanças. Na próxima seção, mostraremos como verificar se seu túnel IPsec funciona corretamente.