Beispiel: Konfigurieren von AutoVPN mit Pre-Shared Key
In diesem Beispiel wird gezeigt, wie Sie verschiedene vorinstallierte IKE-Schlüssel konfigurieren, die vom VPN-Gateway zur Authentifizierung des Remote-Peers verwendet werden. Auf ähnliche Weise können Sie denselben vorinstallierten IKE-Schlüssel konfigurieren, der vom VPN-Gateway zur Authentifizierung des Remote-Peers verwendet wird.
Weitere Beispiele in diesem Thema finden Sie für die End-to-End-Konfiguration von AutoVPN.
Konfigurieren verschiedener IKE Preshared Key
Führen Sie diese Aufgaben aus, um verschiedene vorinstallierte IKE-Schlüssel zu konfigurieren, die das VPN-Gateway zur Authentifizierung des Remote-Peers verwendet.
- Konfigurieren Sie die Seeding Preshared for IKE-Richtlinie auf dem Gerät mit AutoVPN Hub.
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
oder
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
Zum Beispiel:
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
oder
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- Konfigurieren Sie den generierten PSK ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" in Schritt 2) in der IKE-Richtlinie auf dem Remote-Peer-Gerät.
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
Zum Beispiel:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (Optional) Um die IKE-ID-Überprüfung zu umgehen und alle IKE-ID-Typen zuzulassen, konfigurieren Sie
general-ikeiddie Konfigurationsanweisung unter der Hierarchieebene [Sicherheit IKE-Gateway-dynamisch gateway_name bearbeiten] im Gateway.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Ergebnis
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity hostname hub.juniper.net;
external-interface lo0.0;
local-address 11.0.0.1;
version v2-only;
}
}
Denselben vorinstallierten IKE-Schlüssel konfigurieren
Führen Sie diese Aufgaben aus, um denselben vorinstallierten IKE-Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remote-Peers verwendet.
- Konfigurieren Sie die
pre-shared-keygemeinsame Richtlinie für IKE auf dem Gerät mit AutoVPN Hub.[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Zum Beispiel:
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- Konfigurieren Sie die
pre-shared-keygemeinsame Richtlinie für das IKE-Remote-Peer-Gerät.[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Zum Beispiel:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (Optional) Um die IKE-ID-Überprüfung zu umgehen und alle IKE-ID-Typen zuzulassen, konfigurieren Sie
general-ikeiddie Konfigurationsanweisung unter der Hierarchieebene [Sicherheit IKE-Gateway-dynamisch gateway_name bearbeiten] im Gateway.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Ergebnis
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity user-at-hostname user1@juniper.net;
external-interface lo0;
local-address 11.0.0.1;
version v2-only;
}
}