Konfigurieren eines IPsec-VPN
IPSec-VPN-Designziele
Ihr IPsec-VPN muss folgende Kriterien erfüllen:
- Konfigurieren Sie ein dynamisches IPsec-VPN, um die Zuweisung von DHCP-Adressen an die WAN-Schnittstelle durch den Internet Service Provider zu unterstützen.
- Stellen Sie sicher, dass nur Datenverkehr, der aus der Vertrauenszone stammt, den IPsec-Tunnel verwenden kann.
- Stellen Sie sicher, dass nur Datenverkehr, der für das Subnetz 172.168.200.0/24 bestimmt ist, den IPsec-Tunnel verwendet.
| Parameterwert | |
|---|---|
| Tunnelschnittstelle | st0 |
| Zweigstellen-Tunnel-IP | 10.0.0.1/24 |
| Unternehmens-Tunnel-IP | 10.0.0.2/24 |
| IKE-Vorschlag | Standard |
| IKE-Modus | Aggressiv |
| Pre-Shared Key | "srx_branch" |
| Tunnelaufbau | Sofort |
| Zweigstellenidentität | Zweig |
| Corporate Identity | Hq |
| Tunnelsicherheitszone | Vpn |
Konfigurieren eines routenbasierten IPsec-VPN
Lassen Sie uns losgehen und ein IPsec-VPN konfigurieren!
- Melden Sie sich als root bei der Gerätekonsole an. Starten Sie die CLI und gehen Sie in den Konfigurationsmodus.
login: branch_srx (ttyu0) root@branch_srx% cli root@branch_srx> configure Entering configuration mode [edit] root@branch_srx#
- Konfigurieren Sie die St0-Tunnel-Schnittstelle. In diesem Szenario wird ein nicht nummeriertes Tunnel unterstützt. Hier entscheiden wir uns für die Nummerierung der Tunnel-Endpunkte. Ein Vorteil der Nummerierung des Tunnels besteht darin, Ping-Tests der Tunnelendpunkte zu ermöglichen, um die Fehlerbehebung von Konnektivitätsproblemen zu erleichtern.
[edit] root@branch_srx# set interfaces st0 unit 0 family inet address 10.0.0.1/24
- Definieren Sie eine statische Route zur Leitung des Datenverkehrs, der für 172.16.200.0/24 bestimmt ist, in den IPsec-Tunnel.
[edit] root@branch_srx# set routing-options static route 172.16.200.0/24 next-hop st0.0
- Konfigurieren Sie die IKE-Parameter. Die Parameter für lokale Identität und Remote-Identität sind für die Unterstützung eines dynamischen IPsec-VPN wichtig. Wenn statische IP-Adressen verwendet werden, definieren Sie ein lokales und Remote-IKE-Gateway, das die statischen IP-Adressen angibt.
Übrigens konfigurieren wir die Sicherheitsfunktionen für ein wenig, damit Sie sich bei der
[edit security]Hierarchie abstellen:[edit security] root@branch_srx# set ike proposal standard authentication-method pre-shared-keys root@branch_srx# set ike policy ike-pol mode aggressive root@branch_srx# set ike policy ike-pol proposals standard root@branch_srx# set ike policy ike-pol pre-shared-key ascii-text branch_srx root@branch_srx# set ike gateway ike-gw ike-policy ike-pol root@branch_srx# set ike gateway ike-gw address 172.16.1.1 root@branch_srx# set ike gateway ike-gw local-identity hostname branch root@branch_srx# set ike gateway ike-gw remote-identity hostname hq root@branch_srx# set ike gateway ike-gw external-interface ge-0/0/0
Hinweis:Um ein dynamisches IPsec-VPN zu unterstützen, muss am Remote-Ende die
set security ike gateway ike-gw dynamic hostname <name>Anweisung im IKE-Vorschlag konfiguriert sein. Wenn das Remote-Ende eine Verbindung initiiert, wird der Name verwendet, um mit dem IKE-Vorschlag und nicht mit einer IP übereinstimmt. Diese Methode wird verwendet, wenn sich IP-Adressen aufgrund der dynamischen Zuweisung ändern können. - Konfigurieren Sie die IPsec-Tunnelparameter.
[edit security] root@branch_srx# set ipsec proposal standard root@branch_srx# set ipsec policy ipsec-pol proposals standard root@branch_srx# set ipsec vpn to_hq bind-interface st0.0 root@branch_srx# set ipsec vpn to_hq ike gateway ike-gw root@branch_srx# set ipsec vpn to_hq ike ipsec-policy ipsec-pol root@branch_srx# set ipsec vpn to_hq establish-tunnels immediately
- Passen Sie die Sicherheitsrichtlinien an, um eine vpn Zone zu erstellen und den Datenverkehr von der trust Zone zur Zone zuzulassen vpn . Wir konfigurieren die vpn Zone so, dass sie hostgebundenes Ping für die Verwendung bei der Fehlerbehebung zulässt, wenn wir uns für die Nummer unseres IPsec-Tunnels entschieden haben. In diesem Schritt platzieren Sie auch die IPsec-Tunnelschnittstelle in der vpn Zone.
[edit security] root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match application any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn then permit root@branch_srx# set security zones security-zone vpn host-inbound-traffic system-services ping root@branch_srx# set zones security-zone vpn interfaces st0.0
Hinweis:In diesem Beispiel halten wir es einfach und stimmen jede Quell- oder Ziel-IP-Adresse ab. Wir verlassen uns auf die statische Route, um den Datenverkehr, der für den Remote-Standort bestimmt ist, in den Tunnel zu leiten. Für eine bessere Sicherheit sollten Sie das Definieren von Adressbucheinträgen für die lokalen Zweigstellen 192.168.2.0/24 und die remoteen 172.16.200.0/24-Subnetzen in Betracht ziehen. Da die Adressbucheinträge für die beiden Subnetzen definiert sind, stimmen Sie auf
source-address <source_name>unddestination-address <dest_name>in Ihrer Sicherheitsrichtlinie ab. Wenn Sie die Quell- und Ziel-Subnets in Ihre Richtlinie einbeziehen, wird der Datenverkehr, der den Tunnel nutzen kann, deutlich expliziter. - Hängen Sie sich ein, Sie sind fast fertig. Erinnern Sie sich daran, dass IKE verwendet wird, um die gemeinsam genutzten Schlüssel für die Sicherung des IPsec-Tunnels auszuhandeln. IKE-Nachrichten müssen über die WAN-Schnittstelle gesendet und empfangen werden, um den Tunnel auf der st0-Schnittstelle einzurichten.
Sie müssen die lokalen Host-Services ändern, auf die über die untrust WAN-Schnittstelle zugegriffen werden kann, um IKE einzubeziehen.
[edit security] root@branch_srx# set zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike
Das wars. Sie haben das routenbasierte IPPsec-VPN an der Zweigstelle konfiguriert. Stellen Sie sicher, dass Sie Ihre Änderungen vornehmen.
Ergebnisse
Lassen Sie uns das Ergebnis Ihrer IPsec-routenbasierten VPN-Konfiguration anzeigen. Wir lassen Teile der Standardkonfiguration für Die Kürze weg.
[edit]
root@branch-srx# show interfaces st0
unit 0 {
family inet {
address 10.0.0.1/24;
}
}
[edit]
root@branch-srx# show routing-options
static {
route 172.16.200.0/24 next-hop st0.0;
}
ike {
proposal standard {
authentication-method pre-shared-keys;
}
policy ike-pol {
mode aggressive;
proposals standard;
pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39"; ## SECRET-DATA
}
gateway ike-gw {
ike-policy ike-pol;
address 172.16.1.1;
local-identity hostname branch;
remote-identity hostname hq;
external-interface ge-0/0/0;
}
}
ipsec {
proposal standard;
policy ipsec-pol {
proposals standard;
}
vpn to_hq {
bind-interface st0.0;
ike {
gateway ike-gw;
ipsec-policy ipsec-pol;
}
establish-tunnels immediately;
}
}
. . .
policies {
. . .
from-zone trust to-zone vpn {
policy trust-to-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
..
security-zone untrust {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
. . .
ike;
. . .
}
}
}
}
}
. . .
security-zone vpn {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
st0.0;
}
}
}
Stellen Sie sicher, dass Sie Ihre Konfiguration festlegen, um die Änderungen auf Ihrer SRX zu aktivieren.
Schnelle Konfigurationen
Schnellkonfiguration: Zweigstelle
Verwenden Sie die folgenden set Anweisungen, um ein IPsec-VPN schnell zu konfigurieren. Bearbeiten Sie einfach die Konfigurationsanweisungen nach Bedarf für Ihre Umgebung und fügen Sie sie in Ihre SRX ein.
Hier ist die IPsec-VPN-Konfiguration für das Gerät der SRX300-Serie am Zweigstellenstandort:
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw address 172.16.1.1 set security ike gateway ike-gw local-identity hostname branch set security ike gateway ike-gw remote-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/0 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces st0 unit 0 family inet address 10.0.0.1/24 set routing-options static route 172.16.200.0/24 next-hop st0.0
Schnelle Konfiguration: Remote-Standort
Für die Vollständigkeit ist hier die passende IPsec-VPN-Schnellkonfiguration für den Remote-Standort. Es ist ähnlich wie für die Zweigstelle. Die wichtigsten Unterschiede bestehen darin, dass wir die dynamic hostname Anweisung und ein anderes Ziel für die statische Route verwenden, die verwendet wird, um den Datenverkehr in den Tunnel zu leiten. Wir erlauben Ping in der vpn Zone am Remote-Standort. Infolgedessen pingen Sie sowohl die Tunnel-Endgeräte (wir haben unseren Tunnel nummeriert) als auch die Loopback-Schnittstelle. Die Loopback-Schnittstelle am Remote-Standort repräsentiert das 172.16.200.0/24-Subnetz. Die Lo0-Schnittstelle des Remote-Standorts wird in der vpn Zone platziert.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$1POEhrKMX7NbSrvLXNY2puORyKWLN-wg" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw dynamic hostname branch set security ike gateway ike-gw local-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/6 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ping set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn interfaces lo0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces lo0 unit 0 family inet address 172.16.200.1/32 set interfaces st0 unit 0 family inet address 10.0.0.2/24 set routing-options static route 192.168.2.0/24 next-hop st0.0
Achten Sie darauf, die Änderungen zu übernehmen. Im nächsten Abschnitt zeigen wir Ihnen, wie Sie überprüfen können, ob Ihr IPsec-Tunnel korrekt funktioniert.