Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticação externa do usuário (procedimento de CLI)

Visão geral

Essa configuração é mais segura, pois permite que você use o mesmo nome de usuário e senha que seu login de domínio, bem como alterar ou recuperar suas credenciais sem interagir com o administrador do firewall. Ele também adiciona menos carga de trabalho ao administrador, pois a senha deve ser alterada com frequência. Recomendamos que você use essa configuração para autenticar o usuário.

Presumimos que você tenha concluído a configuração básica de seus firewalls da Série SRX, incluindo interfaces, zonas e políticas de segurança, conforme ilustrado na Figura 1.

Figura 1: Topologia Topology

Para obter informações sobre pré-requisitos, consulte os requisitos do sistema.

Você deve garantir que o firewall da Série SRX use um certificado assinado ou um certificado auto-assinado em vez do certificado padrão gerado pelo sistema. Antes de começar a configurar o Juniper Secure Connect, você deve vincular o certificado ao firewall da Série SRX executando o seguinte comando:

Por exemplo:

Quando SRX_Certificate é o certificado obtido da CA ou certificado auto-assinado.

Configuração rápida da CLI

Para configurar rapidamente este exemplo em seus firewalls da Série SRX, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia [editar].

Procedimento passo a passo

Para configurar configurações de VPN usando a interface da linha de comando:

  1. Faça login no firewall da Série SRX usando a interface de linha de comando (CLI).
  2. Insira o modo de configuração.
  3. Configure UMA VPN de acesso remoto.

    Para implantar o Juniper Secure Connect, você deve criar um certificado auto-assinado e vincular o certificado ao Firewall da Série SRX. Para obter mais informações, veja como preparar a configuração do Juniper Secure Connect.

    Configuração do IKE:

    1. Configure a proposta do IKE.
      • Defina o método de autenticação de propostas do IKE, o grupo Diffie-Hellman e o algoritmo de autenticação.
      • Configure chaves pré-compartilhadas como o método de autenticação. Insira a chave pré-compartilhada no formato ASCII. Não oferecemos suporte a formato hexadecimal para VPN de acesso remoto.
    2. Configure a política de IKE.

      Defina o modo de política da Fase 1 do IKE, referência à proposta do IKE e ao método de autenticação de políticas da Fase 1 do IKE.

    3. Configure opções de gateway IKE. Veja a dinâmica.

      Se você não configurar os valores de DPD e as informações da versão, o Junos OS atribui o valor padrão para essas opções. Veja a detecção de peer morto.

      Configure o endereço IP da interface externa para que os clientes se conectem. Você deve inserir este mesmo endereço IP (neste exemplo: https://192.0.2.0/) para o campo de Endereço gateway no aplicativo Juniper Secure Connect. Veja o gateway.

    Configuração do IPsec:

    1. Configure a proposta do IPsec.
    2. Configure a política IPsec.
      • Especifique o IPsec fase 2 PFS para usar o grupo Diffie-Hellman 19.
      • Especifique a referência da proposta da Fase 2 do IPsec.

    Configuração de VPN IPsec:

    1. Configure parâmetros de VPN IPsec. Consulte vpn (Segurança).
    2. Configure seletores de tráfego VPN. Consulte o seletor de tráfego.
  4. Configure as opções de cliente do usuário remoto.
    1. Configure o perfil de acesso remoto. Veja o acesso remoto.
    2. Configure o acesso de usuário de vários dispositivos para acess remotos.

      Para configurar o acesso multidevice do usuário, garanta que os seguintes pré-requisitos sejam atendidos:

      • A versão do cliente Secure Connect é compatível.

      • Cada um dos dispositivos remotos (computadores ou dispositivos inteligentes) tem um nome de host exclusivo.

      • Para reduzir o consumo de licença, você pode configurar opções de tempo limite ocioso usando set security ipsec vpn vpn-nameike idle-time o comando para desconectar conexões inativas.

      • Só oferece group-ike-idsuporte.

      Você pode limpar todas as associações IKE de um usuário usando o comando clear security ike active-peer aaa-username user-name.

      O recurso de acesso ao usuário de vários dispositivos não funciona com atribuição de endereço estático usando o atributo de raio Framed-IP-Address. A primeira conexão do usuário será estabelecida com sucesso, e o descanso pode falhar.

      A atribuição de endereço estático usando um processo authd oferecerá endereço IP configurado para a primeira conexão do usuário e, para a conexão posterior, ele oferece ip gratuito do pool usando o set access address-assignment pool family [inet|inet6] host ip-address user-name comando.

    3. Configure a configuração do cliente de acesso remoto. Consulte a configuração do cliente.

    A Tabela 1 resume as opções de configurações remotas do usuário.

    Tabela 1: opções de configurações remotas do usuário

    Configurações remotas do usuário

    Descrição

    modo de conexão

    Para estabelecer a conexão do cliente manualmente ou automaticamente, configure a opção apropriada.

    • Se você configurar a opção manual e, em seguida, no aplicativo Juniper Secure Connect, para estabelecer uma conexão, você deve clicar no botão de alternar ou selecionar Conexão > Conectar a partir do menu.

    • Se você configurar sempre a opção, o Juniper Secure Connect estabelece automaticamente a conexão.

    Limitação conhecida:

    Dispositivo Android: se você usar ou selecionar Sempre, a configuração é baixada do primeiro dispositivo SRX usado. Se a primeira configuração de firewall da Série SRX mudar ou se você se conectar a um novo dispositivo SRX, a configuração não será baixada para o aplicativo Juniper Secure Connect.

    Isso significa que, uma vez que você se conecta no modo Always usando o dispositivo Android, quaisquer alterações de configuração no Firewall da Série SRX não fazem efeito no Juniper Secure Connect.

    detecção de dead-peer

    A detecção de peer morto (DPD) é habilitada por padrão para permitir que o cliente detecte se o firewall da Série SRX é alcançável e, se o dispositivo não for acessível, desabiibilize a conexão até que a acessibilidade seja restaurada.

    perfil padrão

    Se você configurar um perfil de conexão VPN como um perfil padrão, então você deve inserir apenas o endereço de gateway no aplicativo Juniper Secure Connect. É opcional inserir o nome real no aplicativo Juniper Secure Connect, já que o aplicativo seleciona automaticamente o perfil padrão como nome do reino. Neste exemplo, insira ra.example.com no campo de endereço de gateway do aplicativo Juniper Secure Connect.

    Nota:

    A partir do Junos OS Release 23.1R1, ocultamos a opção default-profile no nível [edit security remote-access] de hierarquia. Em versões antes do Junos OS Release 23.1R1, você usa essa opção para especificar um dos perfis de acesso remoto como o perfil padrão no Juniper Secure Connect. Mas, com mudanças no formato de nomes de perfil de acesso remoto, não precisamos mais da opção default-profile .

    Preterimos default-profile a opção — em vez de removê-la imediatamente — para fornecer compatibilidade reversa e uma chance de fazer sua configuração existente estar em conformidade com a configuração alterada. Você receberá uma mensagem de aviso se continuar a usar a opção default-profile em sua configuração. No entanto, as implantações existentes não são afetadas se você modificar a configuração atual. Veja o perfil padrão (Juniper Secure Connect).

  5. Configure o gateway local.
    1. Crie um pool de endereços para atribuição de IP dinâmica do cliente. Consulte a atribuição de endereço (Acesso).
      • Digite o endereço de rede que você usa para a atribuição de endereços.

      • Insira seu endereço de servidor DNS. Insira os detalhes do servidor WINS, se necessário. Crie a faixa de endereço para atribuir endereços IP aos clientes.

      • Insira o nome e os limites inferiores e superiores.

    2. Crie um perfil de acesso.

      Para autenticação externa de usuários, forneça o Endereço IP radius server, o Radius Secret e o endereço de origem para que as comunicações de raio sejam originadas. Configure o raio para a ordem de autenticação.

    3. Crie um perfil de encerramento de SSL. O encerramento de SSL é um processo em que os firewalls da Série SRX atuam como um servidor proxy SSL e encerra a sessão SSL do cliente. Digite o nome do perfil de encerramento de SSL e selecione o certificado de servidor que você usa para o encerramento de SSL nos firewalls da Série SRX. O certificado do servidor é um identificador de certificado local. Os certificados de servidor são usados para autenticar a identidade de um servidor.
    4. Crie um perfil de VPN SSL. Veja tcp-encap.
    5. Crie políticas de firewall.
      Crie a política de segurança para permitir o tráfego da zona de confiança até a zona vpn.
      Crie a política de segurança para permitir o tráfego da zona vpn até a zona de confiança.
  6. Configure as informações da interface Ethernet.

    Configure a interface st0 com o conjunto familiar como inet.

  7. Configure zonas de segurança.
  8. A configuração de acesso remoto com usuário remoto e gateway local é configurada com sucesso.
  9. Lance o aplicativo Juniper Secure Connect e forneça o mesmo endereço IP que você configurou para endereço IP externo no campo de Endereço gateway no aplicativo Juniper Secure Connect.

    Neste exemplo, você configurou o 192.0.2.0 como o endereço IP de interface externa para os clientes se conectarem. Você deve inserir este mesmo endereço IP (192.0.2.0) para o campo de endereço gateway no aplicativo Juniper Secure Connect.

Resultado

A partir do modo operacional, confirme sua configuração entrando no show security, show accesse show services comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Certifique-se de que você já tem um certificado de servidor para anexar ao perfil de encerramento do SSL.

Quando terminar de configurar o recurso em seu dispositivo, insira o commit a partir do modo de configuração.