Beispiel: Konfigurieren von AutoVPN mit Pre-Shared Key
In diesem Beispiel wird gezeigt, wie verschiedene vorinstallierte IKE-Schlüssel konfiguriert werden, die vom VPN-Gateway zur Authentifizierung des Remotepeers verwendet werden. Ähnlich verhält es sich, um denselben vorinstallierten IKE-Schlüssel zu konfigurieren, der vom VPN-Gateway zur Authentifizierung des Remotepeers verwendet wird.
Weitere Beispiele in diesem Thema finden Sie in anderen Beispielen für die End-to-End-Konfiguration von AutoVPN.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
- MX240, MX480 und MX960 mit MX-SPC3 und Junos OS Version 21.1R1, die AutoVPN unterstützen
- oder SRX5000-Reihe mit SPC3 und Junos OS Version 21.2R1, die AutoVPN unterstützen
- oder Virtuelle Firewall vSRX mit iked-Prozess (mit dem
junos-ikePaket) und Junos OS Version 21.2R1, die AutoVPN unterstützen
Konfigurieren unterschiedlicher vorinstallierter IKE-Schlüssel
Führen Sie die folgenden Aufgaben aus, um einen anderen vorinstallierten IKE-Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remotepeers verwendet.
- Konfigurieren Sie die vorab gesetzte Richtlinie für IKE auf dem Gerät mit AutoVPN Hub.
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
oder
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
Zum Beispiel:
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
oder
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- Konfigurieren Sie den generierten PSK ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" in Schritt 2) in der IKE-Richtlinie auf dem Remote-Peer-Gerät.
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
Zum Beispiel:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (Optional) Um die IKE-ID-Validierung zu umgehen und alle IKE-ID-Typen zuzulassen, konfigurieren Sie
general-ikeiddie Konfigurationsanweisung unter der Hierarchieebene [Sicherheits-IKE-Gateway gateway_name dynamisch bearbeiten] im Gateway.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Ergebnis
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity hostname hub.juniper.net;
external-interface lo0.0;
local-address 11.0.0.1;
version v2-only;
}
}
Konfigurieren desselben vorinstallierten IKE-Schlüssels
Führen Sie die folgenden Aufgaben aus, um denselben vorinstallierten IKE-Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remotepeers verwendet.
- Konfigurieren Sie die allgemeine
pre-shared-keyIKE-Richtlinie auf dem Gerät mit AutoVPN Hub.[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Zum Beispiel:
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- Konfigurieren Sie die allgemeine
pre-shared-keyIKE-Richtlinie für Remote-Peer-Geräte.[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Zum Beispiel:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (Optional) Um die IKE-ID-Validierung zu umgehen und alle IKE-ID-Typen zuzulassen, konfigurieren Sie
general-ikeiddie Konfigurationsanweisung unter der Hierarchieebene [Sicherheits-IKE-Gateway gateway_name dynamisch bearbeiten] im Gateway.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Ergebnis
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity user-at-hostname user1@juniper.net;
external-interface lo0;
local-address 11.0.0.1;
version v2-only;
}
}