Visão geral
Essa configuração é mais segura, pois permite que você use o mesmo nome de usuário e senha que seu login de domínio, bem como alterar ou recuperar suas credenciais sem interagir com o administrador do firewall. Ele também adiciona menos carga de trabalho ao administrador, pois a senha deve ser alterada com frequência. Recomendamos que você use essa configuração para autenticar o usuário.
Presumimos que você tenha concluído a configuração básica de seus firewalls da Série SRX, incluindo interfaces, zonas e políticas de segurança, conforme ilustrado na Figura 1.
Figura 1: Topologia
Para obter informações sobre pré-requisitos, consulte os requisitos do sistema.
Você deve garantir que o firewall da Série SRX use um certificado assinado ou um certificado auto-assinado em vez do certificado padrão gerado pelo sistema. Antes de começar a configurar o Juniper Secure Connect, você deve vincular o certificado ao firewall da Série SRX executando o seguinte comando:
user@host# set system services web-management https pki-local-certificate <cert_name>
Por exemplo:
user@host# set system services web-management https pki-local-certificate SRX_Certificate
Quando SRX_Certificate é o certificado obtido da CA ou certificado auto-assinado.
Configuração rápida da CLI
Para configurar rapidamente este exemplo em seus firewalls da Série SRX, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia [editar].
[edit]
user@host#
set security ike proposal JUNIPER_SECURE_CONNECT authentication-method pre-shared-keys
set security ike proposal JUNIPER_SECURE_CONNECT dh-group group19
set security ike proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
set security ike proposal JUNIPER_SECURE_CONNECT lifetime-seconds 28800
set security ike policy JUNIPER_SECURE_CONNECT mode aggressive
set security ike policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
set security ike policy JUNIPER_SECURE_CONNECT pre-shared-key ascii-text "$9$yYJeMXVwgUjq7-jqmfn6rev"
set security ike gateway JUNIPER_SECURE_CONNECT dynamic hostname ra.example.com
set security ike gateway JUNIPER_SECURE_CONNECT dynamic ike-user-type group-ike-id
set security ike gateway JUNIPER_SECURE_CONNECT ike-policy JUNIPER_SECURE_CONNECT
set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection optimized
set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection interval 10
set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
set security ike gateway JUNIPER_SECURE_CONNECT version v1-only
set security ike gateway JUNIPER_SECURE_CONNECT aaa access-profile Juniper_Secure_Connect
set security ike gateway JUNIPER_SECURE_CONNECT tcp-encap-profile SSL-VPN
set security ike gateway JUNIPER_SECURE_CONNECT external-interface ge-0/0/0
set security ike gateway JUNIPER_SECURE_CONNECT local-address 192.0.2.0
set security ipsec proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
set security ipsec proposal JUNIPER_SECURE_CONNECT lifetime-seconds 3600
set security ipsec policy JUNIPER_SECURE_CONNECT perfect-forward-secrecy keys group19
set security ipsec policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
set security ipsec vpn JUNIPER_SECURE_CONNECT bind-interface st0.0
set security ipsec vpn JUNIPER_SECURE_CONNECT ike gateway JUNIPER_SECURE_CONNECT
set security ipsec vpn JUNIPER_SECURE_CONNECT ike ipsec-policy JUNIPER_SECURE_CONNECT
set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 local-ip 0.0.0.0/0
set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 remote-ip 0.0.0.0/0
set security remote-access profile ra.example.com ipsec-vpn JUNIPER_SECURE_CONNECT
set security remote-access profile ra.example.com access-profile Juniper_Secure_Connect
set security remote-access profile ra.example.com client-config JUNIPER_SECURE_CONNECT
set security remote-access profile ra.example.com options multi-access
set security remote-access client-config JUNIPER_SECURE_CONNECT connection-mode manual
set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection interval 60
set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet network 192.168.2.0/24
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range low 192.168.2.11
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range high 192.168.2.100
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-dns 10.8.8.8/32
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-wins 192.168.4.10/32
set access profile Juniper_Secure_Connect authentication-order radius
set access profile Juniper_Secure_Connect address-assignment pool Juniper_Secure_Connect_Addr-Pool
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 port 1812
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 secret "$9$JSUi.QF/0BEP5BEcyW8ZUj"
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 timeout 5
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 retry 3
set access firewall-authentication web-authentication default-profile Juniper_Secure_Connect
set services ssl termination profile Juniper_SCC-SSL-Term-Profile server-certificate JUNIPER_SECURE_CONNECT(RSA)
set security tcp-encap profile SSL-VPN ssl-profile Juniper_SCC-SSL-Term-Profile
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match source-address any
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match destination-address any
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match application any
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then permit
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then log session-close
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match source-address any
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match destination-address any
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match application any
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then permit
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then log session-close
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.0/24
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.0/24
set interfaces st0 unit 0 family inet
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone vpn host-inbound-traffic system-services all
set security zones security-zone vpn host-inbound-traffic protocols all
set security zones security-zone VPN interface st0.0
set security zones security-zone vpn interfaces ge-0/0/1.0
Procedimento passo a passo
Para configurar configurações de VPN usando a interface da linha de comando:
- Faça login no firewall da Série SRX usando a interface de linha de comando (CLI).
- Insira o modo de configuração.
- Configure UMA VPN de acesso remoto.
- Configure a proposta do IKE.
- Defina o método de autenticação de propostas do IKE, o grupo Diffie-Hellman e o algoritmo de autenticação.
- Configure chaves pré-compartilhadas como o método de autenticação. Insira a chave pré-compartilhada no formato ASCII. Não oferecemos suporte a formato hexadecimal para VPN de acesso remoto.
user@host# set security ike proposal JUNIPER_SECURE_CONNECT authentication-method pre-shared-keys
user@host# set security ike proposal JUNIPER_SECURE_CONNECT dh-group group19
user@host# set security ike proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
user@host# set security ike proposal JUNIPER_SECURE_CONNECT lifetime-seconds 28800
- Configure a política de IKE.
Defina o modo de política da Fase 1 do IKE, referência à proposta do IKE e ao método de autenticação de políticas da Fase 1 do IKE.
user@host# set security ike policy JUNIPER_SECURE_CONNECT mode aggressive
user@host# set security ike policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
user@host# set security ike policy JUNIPER_SECURE_CONNECT pre-shared-key ascii-text "$9$yYJeMXVwgUjq7-jqmfn6rev"
- Configure opções de gateway IKE. Veja a dinâmica.
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dynamic hostname ra.example.com
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dynamic ike-user-type group-ike-id
user@host# set security ike gateway JUNIPER_SECURE_CONNECT ike-policy JUNIPER_SECURE_CONNECT
Se você não configurar os valores de DPD e as informações da versão, o Junos OS atribui o valor padrão para essas opções. Veja a detecção de peer morto.
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection optimized
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection interval 10
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
user@host# set security ike gateway JUNIPER_SECURE_CONNECT version v1-only
user@host# set security ike gateway JUNIPER_SECURE_CONNECT aaa access-profile Juniper_Secure_Connect
user@host# set security ike gateway JUNIPER_SECURE_CONNECT tcp-encap-profile SSL-VPN
Configure o endereço IP da interface externa para que os clientes se conectem. Você deve inserir este mesmo endereço IP (neste exemplo: https://192.0.2.0/) para o campo de Endereço gateway no aplicativo Juniper Secure Connect. Veja o gateway.
user@host# set security ike gateway JUNIPER_SECURE_CONNECT external-interface ge-0/0/0
user@host# set security ike gateway JUNIPER_SECURE_CONNECT local-address 192.0.2.0
- Configure a proposta do IPsec.
user@host# set security ipsec proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
user@host# set security ipsec proposal JUNIPER_SECURE_CONNECT lifetime-seconds 3600
- Configure a política IPsec.
- Especifique o IPsec fase 2 PFS para usar o grupo Diffie-Hellman 19.
- Especifique a referência da proposta da Fase 2 do IPsec.
user@host# set security ipsec policy JUNIPER_SECURE_CONNECT perfect-forward-secrecy keys group19
user@host# set security ipsec policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
Configuração de VPN IPsec:
- Configure parâmetros de VPN IPsec. Consulte vpn (Segurança).
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT bind-interface st0.0
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT ike gateway JUNIPER_SECURE_CONNECT
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT ike ipsec-policy JUNIPER_SECURE_CONNECT
- Configure seletores de tráfego VPN. Consulte o seletor de tráfego.
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 local-ip 0.0.0.0/0
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 remote-ip 0.0.0.0/0
- Configure as opções de cliente do usuário remoto.
- Configure o perfil de acesso remoto. Veja o acesso remoto.
user@host# set security remote-access profile ra.example.com ipsec-vpn JUNIPER_SECURE_CONNECT
user@host# set security remote-access profile ra.example.com access-profile Juniper_Secure_Connect
user@host# set security remote-access profile ra.example.com client-config JUNIPER_SECURE_CONNECT
- Configure o acesso de usuário de vários dispositivos para acess remotos.
Para configurar o acesso multidevice do usuário, garanta que os seguintes pré-requisitos sejam atendidos:
-
A versão do cliente Secure Connect é compatível.
-
Cada um dos dispositivos remotos (computadores ou dispositivos inteligentes) tem um nome de host exclusivo.
-
Para reduzir o consumo de licença, você pode configurar opções de tempo limite ocioso usando set security ipsec vpn vpn-nameike idle-time
o comando para desconectar conexões inativas.
-
Só oferece group-ike-idsuporte.
Você pode limpar todas as associações IKE de um usuário usando o comando clear security ike active-peer aaa-username user-name
.
O recurso de acesso ao usuário de vários dispositivos não funciona com atribuição de endereço estático usando o atributo de raio Framed-IP-Address. A primeira conexão do usuário será estabelecida com sucesso, e o descanso pode falhar.
A atribuição de endereço estático usando um processo authd oferecerá endereço IP configurado para a primeira conexão do usuário e, para a conexão posterior, ele oferece ip gratuito do pool usando o set access address-assignment pool family [inet|inet6] host ip-address user-name
comando.
user@host# set security remote-access profile ra.example.com options multi-access
- Configure a configuração do cliente de acesso remoto. Consulte a configuração do cliente.
user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT connection-mode manual
user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection interval 60
user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
A Tabela 1 resume as opções de configurações remotas do usuário.
Tabela 1: opções de configurações remotas do usuário
Configurações remotas do usuário |
Descrição |
modo de conexão |
Para estabelecer a conexão do cliente manualmente ou automaticamente, configure a opção apropriada.
-
Se você configurar a opção manual e, em seguida, no aplicativo Juniper Secure Connect, para estabelecer uma conexão, você deve clicar no botão de alternar ou selecionar Conexão > Conectar a partir do menu.
-
Se você configurar sempre a opção, o Juniper Secure Connect estabelece automaticamente a conexão.
Limitação conhecida: Dispositivo Android: se você usar ou selecionar Sempre, a configuração é baixada do primeiro dispositivo SRX usado. Se a primeira configuração de firewall da Série SRX mudar ou se você se conectar a um novo dispositivo SRX, a configuração não será baixada para o aplicativo Juniper Secure Connect. Isso significa que, uma vez que você se conecta no modo Always usando o dispositivo Android, quaisquer alterações de configuração no Firewall da Série SRX não fazem efeito no Juniper Secure Connect. |
detecção de dead-peer |
A detecção de peer morto (DPD) é habilitada por padrão para permitir que o cliente detecte se o firewall da Série SRX é alcançável e, se o dispositivo não for acessível, desabiibilize a conexão até que a acessibilidade seja restaurada. |
perfil padrão |
Se você configurar um perfil de conexão VPN como um perfil padrão, então você deve inserir apenas o endereço de gateway no aplicativo Juniper Secure Connect. É opcional inserir o nome real no aplicativo Juniper Secure Connect, já que o aplicativo seleciona automaticamente o perfil padrão como nome do reino. Neste exemplo, insira ra.example.com no campo de endereço de gateway do aplicativo Juniper Secure Connect.
Nota:
A partir do Junos OS Release 23.1R1, ocultamos a opção default-profile no nível [edit security remote-access ] de hierarquia. Em versões antes do Junos OS Release 23.1R1, você usa essa opção para especificar um dos perfis de acesso remoto como o perfil padrão no Juniper Secure Connect. Mas, com mudanças no formato de nomes de perfil de acesso remoto, não precisamos mais da opção default-profile .
Preterimos default-profile a opção — em vez de removê-la imediatamente — para fornecer compatibilidade reversa e uma chance de fazer sua configuração existente estar em conformidade com a configuração alterada. Você receberá uma mensagem de aviso se continuar a usar a opção default-profile em sua configuração. No entanto, as implantações existentes não são afetadas se você modificar a configuração atual. Veja o perfil padrão (Juniper Secure Connect).
|
- Configure o gateway local.
- Crie um pool de endereços para atribuição de IP dinâmica do cliente. Consulte a atribuição de endereço (Acesso).
-
Digite o endereço de rede que você usa para a atribuição de endereços.
-
Insira seu endereço de servidor DNS. Insira os detalhes do servidor WINS, se necessário. Crie a faixa de endereço para atribuir endereços IP aos clientes.
-
Insira o nome e os limites inferiores e superiores.
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet network 192.168.2.0/24
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range low 192.168.2.11
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range high 192.168.2.100
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-dns 10.8.8.8/32
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-wins 192.168.4.10/32
- Crie um perfil de acesso.
Para autenticação externa de usuários, forneça o Endereço IP radius server, o Radius Secret e o endereço de origem para que as comunicações de raio sejam originadas. Configure o raio para a ordem de autenticação.
user@host# set access profile Juniper_Secure_Connect authentication-order radius
user@host# set access profile Juniper_Secure_Connect address-assignment pool Juniper_Secure_Connect_Addr-Pool
user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 port 1812
user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 secret "$9$JSUi.QF/0BEP5BEcyW8ZUj"
user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 timeout 5
user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 retry 3
user@host# set access firewall-authentication web-authentication default-profile Juniper_Secure_Connect
- Crie um perfil de encerramento de SSL. O encerramento de SSL é um processo em que os firewalls da Série SRX atuam como um servidor proxy SSL e encerra a sessão SSL do cliente. Digite o nome do perfil de encerramento de SSL e selecione o certificado de servidor que você usa para o encerramento de SSL nos firewalls da Série SRX. O certificado do servidor é um identificador de certificado local. Os certificados de servidor são usados para autenticar a identidade de um servidor.
user@host# set services ssl termination profile Juniper_SCC-SSL-Term-Profile server-certificate JUNIPER_SECURE_CONNECT(RSA)
- Crie um perfil de VPN SSL. Veja tcp-encap.
user@host# set security tcp-encap profile SSL-VPN ssl-profile Juniper_SCC-SSL-Term-Profile
- Crie políticas de firewall.
Crie a política de segurança para permitir o tráfego da zona de confiança até a zona vpn.
user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match source-address any
user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match destination-address anyuser@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match application any
user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then permit
user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then log session-close
Crie a política de segurança para permitir o tráfego da zona vpn até a zona de confiança.
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match source-address any
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match destination-address any
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match application any
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then permit
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then log session-close
- Configure as informações da interface Ethernet.
user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.0/24
user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.0/24
Configure a interface st0 com o conjunto familiar como inet.
user@host# set interfaces st0 unit 0 family inet
- Configure zonas de segurança.
user@host# set security zones security-zone trust host-inbound-traffic system-services all
user@host# set security zones security-zone trust host-inbound-traffic protocols all
user@host# set security zones security-zone trust interfaces ge-0/0/0.0
user@host# set security zones security-zone vpn host-inbound-traffic system-services all
user@host# set security zones security-zone vpn host-inbound-traffic protocols all
user@host# set security zones security-zone VPN interface st0.0
user@host# set security zones security-zone vpn interfaces ge-0/0/1.0
- A configuração de acesso remoto com usuário remoto e gateway local é configurada com sucesso.
- Lance o aplicativo Juniper Secure Connect e forneça o mesmo endereço IP que você configurou para endereço IP externo no campo de Endereço gateway no aplicativo Juniper Secure Connect.
Neste exemplo, você configurou o 192.0.2.0 como o endereço IP de interface externa para os clientes se conectarem. Você deve inserir este mesmo endereço IP (192.0.2.0) para o campo de endereço gateway no aplicativo Juniper Secure Connect.
Resultado
A partir do modo operacional, confirme sua configuração entrando no show security
, show access
e show services
comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host> show security
ike {
proposal JUNIPER_SECURE_CONNECT {
authentication-method pre-shared-keys;
dh-group group19;
encryption-algorithm aes-256-gcm;
lifetime-seconds 28800;
}
policy JUNIPER_SECURE_CONNECT {
mode aggressive;
proposals JUNIPER_SECURE_CONNECT;
pre-shared-key ascii-text "$9$oWZDk5Qnp0I.P0IEcvMaZU"; ## SECRET-DATA
}
gateway JUNIPER_SECURE_CONNECT {
ike-policy JUNIPER_SECURE_CONNECT;
dynamic {
hostname ra.example.com;
ike-user-type group-ike-id;
}
dead-peer-detection {
optimized;
interval 10;
threshold 5;
}
external-interface ge-0/0/1;
aaa {
access-profile Juniper_Secure_Connect;
}
version v1-only;
tcp-encap-profile SSL-VPN;
}
}
ipsec {
proposal JUNIPER_SECURE_CONNECT {
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy JUNIPER_SECURE_CONNECT {
perfect-forward-secrecy {
keys group19;
}
proposals JUNIPER_SECURE_CONNECT;
}
vpn JUNIPER_SECURE_CONNECT {
bind-interface st0.0;
ike {
gateway JUNIPER_SECURE_CONNECT;
ipsec-policy JUNIPER_SECURE_CONNECT;
}
traffic-selector ts-1 {
local-ip 0.0.0.0/0;
remote-ip 0.0.0.0/0;
}
}
}
remote-access {
profile ra.example.com {
ipsec-vpn JUNIPER_SECURE_CONNECT;
access-profile Juniper_Secure_Connect;
client-config JUNIPER_SECURE_CONNECT;
}
client-config JUNIPER_SECURE_CONNECT {
connection-mode manual;
dead-peer-detection {
interval 60;
threshold 5;
}
}
}
policies {
from-zone trust to-zone VPN {
policy JUNIPER_SECURE_CONNECT-1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-close;
}
}
}
}
from-zone VPN to-zone trust {
policy JUNIPER_SECURE_CONNECT-2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-close;
}
}
}
}
}
tcp-encap {
profile SSL-VPN {
ssl-profile Juniper_SCC-SSL-Term-Profile;
}
}
[edit]
user@host> show access
access {
profile Juniper_Secure_Connect {
authentication-order radius;
address-assignment {
pool Juniper_Secure_Connect_Addr-Pool;
}
radius-server {
192.168.3.10 {
port 1812;
secret "$9$JSUi.QF/0BEP5BEcyW8ZUj"; ## SECRET-DATA
timeout 5;
retry 3;
}
}
}
address-assignment {
pool Juniper_Secure_Connect_Addr-Pool {
family inet {
network 192.168.2.0/24;
range Range {
low 192.168.2.11;
high 192.168.2.100;
}
xauth-attributes {
primary-dns 10.8.8.8/32;
primary-wins 192.168.4.10/32;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile Juniper_Secure_Connect;
}
}
}
[edit]
user@host> show services
ssl {
termination {
profile Juniper_SCC-SSL-Term-Profile {
server-certificate JUNIPER_SECURE_CONNECT(RSA);
}
}
}
Certifique-se de que você já tem um certificado de servidor para anexar ao perfil de encerramento do SSL.
[edit]
user@host> show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.0/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 198.51.100.0/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host> show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
ge-0/0/1.0;
}
}
Quando terminar de configurar o recurso em seu dispositivo, insira o commit a partir do modo de configuração.