Richtlinienbasierte IPsec-VPNs
Ein richtlinienbasiertes VPN ist eine Konfiguration, in der ein IPsec-VPN-Tunnel, der zwischen zwei Endpunkten erstellt wird, in der Richtlinie selbst mit einer Richtlinienaktion für den Transitdatenverkehr angegeben wird, die die Übereinstimmungskriterien der Richtlinie erfüllt.
Richtlinienbasierte IPsec-VPNs verstehen
Bei richtlinienbasierten IPsec-VPNs gibt eine Sicherheitsrichtlinie als Aktion den VPN-Tunnel an, der für den Transitdatenverkehr verwendet werden soll, der die Übereinstimmungskriterien der Richtlinie erfüllt. Ein VPN wird unabhängig von einer Richtlinienanweisung konfiguriert. Die Richtlinienanweisung bezieht sich namentlich auf das VPN, um den Datenverkehr anzugeben, dem der Zugriff auf den Tunnel gestattet wird. Bei richtlinienbasierten VPNs erstellt jede Richtlinie eine individuelle IPsec-Sicherheitszuordnung (SA) mit dem Remote-Peer, die jeweils als individueller VPN-Tunnel zählt. Wenn eine Richtlinie z. B. eine Gruppenquelladresse und eine Gruppenzieladresse enthält, wird jedes Mal, wenn einer der Benutzer, die zur Adressgruppe gehören, versucht, mit einem der als Zieladresse angegebenen Hosts zu kommunizieren, ein neuer Tunnel ausgehandelt und eingerichtet. Da jeder Tunnel einen eigenen Aushandlungsprozess und ein separates Paar von Sicherheitszuordnungen erfordert, kann die Verwendung richtlinienbasierter IPsec-VPNs ressourcenintensiver sein als routenbasierte VPNs.
Beispiele für den Einsatz richtlinienbasierter VPNs:
Sie implementieren ein DFÜ-VPN.
Richtlinienbasierte VPNs ermöglichen es Ihnen, den Datenverkehr auf der Grundlage von Firewall-Richtlinien zu leiten.
Es wird empfohlen, ein routenbasiertes VPN zu verwenden, wenn Sie ein VPN zwischen mehreren Remotestandorten konfigurieren möchten. Routenbasierte VPNs können die gleichen Funktionen wie richtlinienbasierte VPNs bieten.
Begrenzungen:
-
Richtlinienbasierte IPSec-VPNs werden mit IKEv2 nicht unterstützt.
-
Unterstützung für richtlinienbasiertes IPsec-VPN ist nicht verfügbar, wenn das Paket mit dem von Ihrer Firewall ausgeführten
ikedProzess für den IPsec-VPN-Dienst verwendetjunos-ikewird.junos-ikeEntfernen Sie mit package alle richtlinienbasierten IPsec-VPN-Konfigurationen, da diese unwirksam sind. Beachten Sie, dass in SRX5K-SPC3 mit RE3 dasjunos-ikePaket standardmäßig verfügbar ist. Bei Plattformen SRX1500 und höher ist dies ein optionales Paket. Weitere Informationen finden Sie unter IPsec-VPN-Funktionsunterstützung mit neuem Paket .
Siehe auch
Beispiel: Konfigurieren eines richtlinienbasierten VPN
In diesem Beispiel wird gezeigt, wie ein richtlinienbasiertes IPsec-VPN konfiguriert wird, damit Daten sicher zwischen zwei Standorten übertragen werden können.
Anforderungen
In diesem Beispiel wird die folgende Hardware verwendet:
-
Jede Firewall der SRX-Serie
- Aktualisiert und erneut validiert mit vSRX Virtual Firewall auf Junos OS Version 20.4R1.
Sind Sie daran interessiert, praktische Erfahrungen mit den in diesem Leitfaden behandelten Themen und Abläufen zu sammeln? Besuchen Sie die richtlinienbasierte IPsec-Demonstration in den virtuellen Laboren von Juniper Networks und reservieren Sie noch heute Ihre kostenlose Sandbox! Die richtlinienbasierte IPsec-VPN-Sandbox finden Sie in der Kategorie Sicherheit.
Bevor Sie beginnen, lesen Sie IPsec – Übersicht.
Überblick
In diesem Beispiel konfigurieren Sie ein richtlinienbasiertes VPN auf SRX1 und SRX2. Host1 und Host2 verwenden das VPN, um Datenverkehr zwischen beiden Hosts sicher über das Internet zu senden.
Abbildung 1 zeigt ein Beispiel für eine richtlinienbasierte VPN-Topologie.
Die IKE-IPsec-Tunnelaushandlung erfolgt in zwei Phasen. In Phase 1 richten die Teilnehmer einen sicheren Kanal ein, über den die IPsec-Sicherheitszuordnung (Security Association, SA) ausgehandelt wird. In Phase 2 handeln die Teilnehmer die IPsec-Sicherheitszuordnung für die Authentifizierung des Datenverkehrs aus, der durch den Tunnel fließt. Genauso wie es zwei Phasen für die Tunnelaushandlung gibt, gibt es zwei Phasen für die Tunnelkonfiguration.
In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute und Sicherheitszonen. Anschließend konfigurieren Sie IKE Phase 1, IPsec Phase 2, Sicherheitsrichtlinie und TCP-MSS-Parameter. Tabelle 5Durchschauen .Tabelle 1
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Schnittstellen |
GE-0/0/0.0 |
10.100.11.1/24 |
|
ge-0/0/1.0 |
172.16.13.1/24 |
|
|
Sicherheitszonen |
Vertrauen |
|
|
Unglaubwürdigkeit |
|
|
|
Statische Routen |
0.0.0.0/0 |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
Norm |
|
|
Richtlinien |
IKE-POL |
|
|
Gateway |
IKE-GW |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
Norm |
|
|
Richtlinien |
IPSEC-POL |
|
|
VPN |
VPN-zu-Host2 |
|
|
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
|
Diese Sicherheitsrichtlinie lässt Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zu. |
VPN-AUSGANG |
|
|
Diese Sicherheitsrichtlinie lässt Datenverkehr von der nicht vertrauenswürdigen Zone zur vertrauenswürdigen Zone zu. |
VPN-IN |
|
|
Diese Sicherheitsrichtlinie lässt den gesamten Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zu. Sie müssen die VPN-OUT-Richtlinie vor die standardmäßige Sicherheitsrichtlinie "Zulassen" setzen. Junos OS führt eine Sicherheitsrichtliniensuche durch, beginnend am Anfang der Liste. Wenn die default-permit-Richtlinie vor der VPN-OUT-Policy steht, stimmt der gesamte Datenverkehr aus der Vertrauenszone mit der default-permit-Richtlinie überein und wird zugelassen. Somit wird kein Datenverkehr jemals mit der VPN-OUT-Richtlinie übereinstimmen. |
default-permit |
|
|
Zweck |
Konfigurationsparameter |
|---|---|
|
TCP-MSS wird als Teil des TCP-Drei-Wege-Handshakes ausgehandelt und begrenzt die maximale Größe eines TCP-Segments, damit es besser zu den maximalen MTU-Grenzwerten (Transmission Unit) in einem Netzwerk passt. Dies ist besonders wichtig für VPN-Datenverkehr, da der IPsec-Kapselungs-Overhead zusammen mit dem IP- und Frame-Overhead dazu führen kann, dass das resultierende ESP-Paket (Encapsulating Security Payload) die MTU der physischen Schnittstelle überschreitet und somit zu einer Fragmentierung führt. Fragmentierung führt zu einer erhöhten Nutzung von Bandbreite und Geräteressourcen. Wir empfehlen einen Wert von 1350 als Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einer MTU von 1500 oder mehr. Möglicherweise müssen Sie mit verschiedenen TCP-MSS-Werten experimentieren, um eine optimale Leistung zu erzielen. Beispielsweise müssen Sie möglicherweise den Wert ändern, wenn ein Gerät im Pfad eine niedrigere MTU aufweist oder wenn zusätzlicher Overhead wie PPP oder Frame Relay vorhanden ist. |
MSS-Wert: 1350 |
Konfiguration
- Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen
- Konfigurieren von IKE
- Konfigurieren von IPsec
- Konfigurieren von Sicherheitsrichtlinien
- Konfigurieren von TCP-MSS
- SRX2 konfigurieren
Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen
CLI-Schnellkonfiguration
Um dieses Beispiel für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.
So konfigurieren Sie Schnittstellen-, statische Routen- und Sicherheitszoneninformationen:
-
Konfigurieren Sie die Schnittstellen.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32
-
Konfigurieren Sie die statischen Routen.
[edit] user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
Weisen Sie die mit dem Internet verbundene Schnittstelle der nicht vertrauenswürdigen Sicherheitszone zu.
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
Geben Sie die zulässigen Systemdienste für die nicht vertrauenswürdige Sicherheitszone an.
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Weisen Sie die auf Host1 zugewandte Schnittstelle der Vertrauenssicherheitszone zu.
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
Geben Sie die zulässigen Systemdienste für die Vertrauenssicherheitszone an.
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show routing-optionsund show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.13.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.100.100.1/32;
}
}
}
[edit]
user@SRX1# show routing-options
static {
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
Konfigurieren von IKE
CLI-Schnellkonfiguration
Um dieses Beispiel für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.
So konfigurieren Sie IKE:
-
Erstellen Sie den IKE-Vorschlag.
[edit security ike] user@SRX1# set proposal standard
-
Definieren Sie die Authentifizierungsmethode für den IKE-Vorschlag.
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
Erstellen Sie die IKE-Richtlinie.
[edit security ike] user@SRX1# set policy IKE-POL
-
Legen Sie den IKE-Richtlinienmodus fest.
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
Definieren Sie die Authentifizierungsmethode für die IKE-Richtlinie.
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
Erstellen Sie das IKE-Gateway, und definieren Sie seine externe Schnittstelle.
[edit security ike gateway IKE-GW] user@SRX1# set external-interface ge-0/0/1.0
-
Definieren Sie die Adresse des IKE-Gateways.
[edit security ike gateway IKE-GW] user@SRX1# address 172.16.23.1
-
Definieren Sie die IKE-Richtlinienreferenz.
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ike Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
Konfigurieren von IPsec
CLI-Schnellkonfiguration
Um dieses Beispiel für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.
So konfigurieren Sie IPsec:
-
Erstellen Sie den IPsec-Vorschlag.
[edit] user@SRX1# set security ipsec proposal standard
-
Erstellen Sie die IPsec-Richtlinie.
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
Geben Sie den IPsec-Vorschlagsverweis an.
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
Geben Sie das IKE-Gateway an.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
Geben Sie die IPsec-Richtlinie an.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
Konfigurieren Sie den Tunnel so, dass er sofort eingerichtet wird.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 establish-tunnels immediately
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ipsec Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
Konfigurieren von Sicherheitsrichtlinien
CLI-Schnellkonfiguration
Um dieses Beispiel für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone untrust set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien:
-
Erstellen Sie Adressbucheinträge für die Netzwerke, die in den Sicherheitsrichtlinien verwendet werden.
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone untrust
-
Erstellen Sie die Sicherheitsrichtlinie, die den Datenverkehr von Host1 in der Vertrauenszone mit Host2 in der nicht vertrauenswürdigen Zone abgleichen soll.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2
-
Erstellen Sie die Sicherheitsrichtlinie, um allen anderen Datenverkehr zum Internet von der Vertrauenszone in die nicht vertrauenswürdige Zone zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
Erstellen Sie eine Sicherheitsrichtlinie, um Datenverkehr von Host2 in der nicht vertrauenswürdigen Zone zu Host1 in der vertrauenswürdigen Zone zuzulassen.
[edit security policies from-zone untrust to-zone trust] user@SRX1# set policy VPN-IN match source-address Host2-Net user@SRX1# set policy VPN-IN match destination-address Host1-Net user@SRX1# set policy VPN-IN match application any user@SRX1# set policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show security policies
from-zone trust to-zone untrust {
policy VPN-OUT {
match {
source-address Host1-Net;
destination-address Host2-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy VPN-IN {
match {
source-address Host2-Net;
destination-address Host1-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
}
Konfigurieren von TCP-MSS
CLI-Schnellkonfiguration
Um dieses Beispiel für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security flow tcp-mss ipsec-vpn mss 1350
Schritt-für-Schritt-Anleitung
So konfigurieren Sie TCP-MSS-Informationen:
-
Konfigurieren Sie die TCP-MSS-Informationen.
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security flow Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
SRX2 konfigurieren
CLI-Schnellkonfiguration
Als Referenz wird die Konfiguration für SRX2 bereitgestellt.
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone untrust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host1 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen des IKE-Status
- Überprüfen des IPsec-Phase-2-Status
- Testen des Datenverkehrsflusses über das VPN
- Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung
Überprüfen des IKE-Status
Zweck
Überprüfen Sie den IKE-Status.
Action!
Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Nachdem Sie eine Indexnummer aus dem Befehl erhalten haben, verwenden Sie den show security ike security-associations index index_number detail Befehl.
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1859361 UP 9788fa59c3ee2e2a 0b17e52f34b83aba Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859361 detail
IKE peer 172.16.23.1, Index 1859361, Gateway Name: IKE-GW
Role: Responder, State: UP
Initiator cookie: 9788fa59c3ee2e2a, Responder cookie: 0b17e52f34b83aba
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Lifetime: Expires in 17567 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 172.16.23.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1740
Output bytes : 1132
Input packets: 15
Output packets: 7
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 4 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Local identity: 172.16.13.1
Remote identity: 172.16.23.1
Flags: IKE SA is created
Bedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-Sicherheitszuordnungen (Security Associations, SAs) auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration.
Wenn Sicherheitszuordnungen aufgeführt sind, überprüfen Sie die folgenden Informationen:
-
Index: Dieser Wert ist für jede IKE-SA eindeutig, den Sie im
show security ike security-associations index detailBefehl verwenden können, um weitere Informationen über die SA zu erhalten. -
Remote-Adresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.
-
Bundesland
-
UP: Die Phase-1-Sicherheitszuordnung wurde eingerichtet.
-
DOWN: Beim Einrichten der Phase-1-SA ist ein Problem aufgetreten.
-
-
Modus: Vergewissern Sie sich, dass der richtige Modus verwendet wird.
Vergewissern Sie sich, dass die folgenden Elemente in Ihrer Konfiguration korrekt sind:
-
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)
-
Parameter der IKE-Richtlinie
-
Informationen zum vorinstallierten Schlüssel
-
Vorschlagsparameter für Phase 1 (müssen auf beiden Peers übereinstimmen)
Der show security ike security-associations index 1859361 detail Befehl listet zusätzliche Informationen über die Sicherheitszuordnung mit der Indexnummer 1859361 auf:
-
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
-
Phase 1 Lebensdauer
-
Verkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr in beide Richtungen ordnungsgemäß fließt)
-
Informationen zur Rolle des Initiators und des Responders
Die Fehlerbehebung wird am besten auf dem Peer mithilfe der Responder-Rolle durchgeführt.
-
Anzahl der erstellten IPsec-Sicherheitszuordnungen
-
Anzahl der laufenden Phase-2-Verhandlungen
Überprüfen des IPsec-Phase-2-Status
Zweck
Überprüfen Sie den IPsec-Phase 2-Status.
Action!
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Nachdem Sie eine Indexnummer aus dem Befehl erhalten haben, verwenden Sie den show security ipsec security-associations index index_number detail Befehl.
user@SRX1 show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/sha1 ae5afc5a 921/ unlim - root 500 172.16.23.1 >2 ESP:3des/sha1 6388a743 921/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 2 detail
ID: 2 Virtual-system: root, VPN Name: VPN-to-Host2
Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1
Local Identity: ipv4_subnet(any:0,[0..7]=10.100.11.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=10.100.22.0/24)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: VPN-OUT
Port: 500, Nego#: 30, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Thu Jul 29 2021 14:29:22 -0700: IPSec SA negotiation successfully completed (29 times)
Thu Jul 29 2021 12:00:30 -0700: IKE SA negotiation successfully completed (4 times)
Wed Jul 28 2021 15:20:58
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Jul 28 2021 15:05:13 -0700: IPSec SA negotiation successfully completed (1 times)
Wed Jul 28 2021 15:05:13
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's address received. Information updated (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's zone received. Information updated (1 times)
Wed Jul 28 2021 11:17:38
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Jul 28 2021 09:27:11 -0700: IKE SA negotiation successfully completed (19 times)
Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times)
Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times)
Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times)
Direction: inbound, SPI: ae5afc5a, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 6388a743, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
-
Die ID-Nummer ist 2. Verwenden Sie diesen Wert mit dem
show security ipsec security-associations indexBefehl, um weitere Informationen zu dieser bestimmten Sicherheitszuordnung abzurufen. -
Es gibt ein IPsec-SA-Paar, das Port 500 verwendet, was darauf hinweist, dass keine NAT-Traversierung implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen Port mit hohen Zahlen.)
-
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensdauer in KB) werden für beide Richtungen angezeigt. Der Wert 921/ unlim gibt an, dass die Lebensdauer von Phase 2 in 921 Sekunden abläuft und dass keine Lebensdauer angegeben wurde, was bedeutet, dass sie unbegrenzt ist. Die Lebensdauer von Phase 2 kann sich von der Lebensdauer von Phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.
-
Die VPN-Überwachung ist für diese Sicherheitszuordnung nicht aktiviert, wie durch einen Bindestrich in der Spalte Mon angegeben. Wenn die VPN-Überwachung aktiviert ist, wird U (nach oben) oder D (nach unten) aufgeführt.
-
Das virtuelle System (vsys) ist das Stammsystem und listet immer 0 auf.
Die Ausgabe des show security ipsec security-associations index 2 detail Befehls listet die folgenden Informationen auf:
-
Die lokale Identität und die Remoteidentität bilden die Proxy-ID für die SA.
Eine Nichtübereinstimmung der Proxy-ID ist einer der häufigsten Gründe für einen Phase-2-Fehler. Bei richtlinienbasierten VPNs wird die Proxy-ID aus der Sicherheitsrichtlinie abgeleitet. Die lokale Adresse und die Remoteadresse werden aus den Adressbucheinträgen abgeleitet, und der Dienst wird von der für die Richtlinie konfigurierten Anwendung abgeleitet. Wenn Phase 2 aufgrund einer nicht übereinstimmenden Proxy-ID fehlschlägt, können Sie die Richtlinie verwenden, um zu bestätigen, welche Adressbucheinträge konfiguriert sind. Stellen Sie sicher, dass die Adressen mit den gesendeten Informationen übereinstimmen. Überprüfen Sie den Dienst, um sicherzustellen, dass die Ports mit den gesendeten Informationen übereinstimmen.
Testen des Datenverkehrsflusses über das VPN
Zweck
Überprüfen Sie den Datenverkehrsfluss über das VPN.
Action!
Verwenden Sie den ping Befehl vom Gerät Host1, um den Datenverkehrsfluss zu Host2 zu testen.
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.300/3.936/8.562/0.720 ms
Bedeutung
Wenn der ping Befehl von Host1 fehlschlägt, liegt möglicherweise ein Problem mit dem Routing, den Sicherheitsrichtlinien, dem Endhost oder der Verschlüsselung und Entschlüsselung von ESP-Paketen vor.
Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung
Zweck
Überprüfen Sie ESP- und Authentifizierungsheaderzähler und -fehler auf eine IPsec-Sicherheitszuordnung.
Action!
Geben Sie im Betriebsmodus den show security ipsec statistics index index_number Befehl ein, indem Sie die Indexnummer des VPN verwenden, für das Sie Statistiken anzeigen möchten.
user@SRX1> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Sie können den show security ipsec statistics Befehl auch verwenden, um Statistiken und Fehler für alle Sicherheitszuordnungen zu überprüfen.
Verwenden Sie den clear security ipsec statistics Befehl, um alle IPsec-Statistiken zu löschen.
Bedeutung
Wenn Sie Probleme mit Paketverlusten in einem VPN feststellen, können Sie den show security ipsec statistics Befehl mehrmals ausführen, um zu bestätigen, dass die Zähler für verschlüsselte und entschlüsselte Pakete inkrementiert werden. Sie sollten auch überprüfen, ob die anderen Fehlerzähler inkrementiert werden.
Migrieren von richtlinienbasierten VPNs zu routenbasierten VPNs
Lesen Sie dieses Thema, wenn Sie Ihre Konfiguration von richtlinienbasierten VPNs zu routenbasierten VPNs mithilfe der gemeinsam genutzten Punkt-zu-Punkt-st0-Schnittstelle migrieren möchten.
Obwohl die Firewalls der SRX-Serie richtlinienbasierte VPNs auf Firewalls unterstützen, die das IPsec-VPN mithilfe des kmd-Prozesses ausführen, gibt es damit verbundene Einschränkungen. Während die Richtlinie den Datenverkehr, der in den VPN-Tunnel eintritt, in Bezug auf das Protokoll und die Portnummer einer Anwendung steuern kann, unterstützt IKEv1 keine Protokoll- oder Portaushandlung bei der Aushandlung von Sicherheitszuordnungen (Security Association, SA). Daher kann die Firewall den Datenverkehr mit richtlinienbasierten VPNs nicht granular kontrollieren. Wir empfehlen Ihnen, Ihre richtlinienbasierten VPNs zu routenbasierten VPNs zu migrieren.
Führen Sie die folgenden Schritte aus, um von richtlinienbasierten VPNs zu routenbasierten VPNs zu migrieren:
-
Deaktivieren Sie die IPsec-VPN-Objekte, die auf Ihrem Junos OS-Gerät ausgeführt werden, mithilfe des kmd-Prozesses.
-
Installieren Sie das Paket, um den
junos-ikeIPsec-VPN-Dienst mit dem iked-Prozess auszuführen. Weitere Informationen finden Sie unter Installieren des Junos-ike-Pakets. -
Konfigurieren Sie die Voraussetzungen für die freigegebene Punkt-zu-Punkt-st0-Schnittstelle. Weitere Hinweise finden Sie unter Shared Point-to-Point st0-Schnittstelle.
-
Aktivieren Sie die zuvor deaktivierten IPsec-VPN-Objekte mit der gemeinsam genutzten Punkt-zu-Punkt-st0-Schnittstelle.
Es wird empfohlen, dass Sie die Migration anhand Ihrer Best Practices für die Migration durchführen, um die Ausfallzeit zu minimieren.
Begrenzungen
-
Sie können nicht mehr zum kmd-basierten IPsec-VPN-Dienst zurückkehren, sobald Sie zum iked-Prozess mit gemeinsamer Punkt-zu-Punkt-st0-Schnittstelle migriert haben.
-
Die richtlinienbasierten VPNs erzwingen implizit die Reihenfolge, in der die Richtlinien konfiguriert werden, wenn eine Richtliniensuche für den Datenverkehr durchgeführt wird. Die routenbasierten VPNs erzwingen jedoch nicht die Reihenfolge, in der VPNs konfiguriert werden, auch nicht mit Datenverkehrsselektoren, da die Reihenfolge durch die Metrik pro Datenverkehrsselektor pro VPN-Konfiguration bestimmt wird.
Beispielkonfiguration
Betrachten wir vor der Migration, dass Sie die folgende Konfiguration für das richtlinienbasierte IPsec-VPN haben, das den kmd-Prozess verwendet. Beachten Sie, dass die Unterstützung für richtlinienbasierte VPNs nur mit IKEv1 verfügbar ist. Wenn in dieser Konfiguration die Sicherheitsrichtlinie den Kriterien entspricht, leitet das Gerät den Datenverkehr an den VPN-Tunnel weiter. Weitere Informationen finden Sie unter Richtlinienbasierte IPsec-VPNs.
[edit security policies]
user@host# show
from-zone zone1 to-zone zone2 {
policy policy1 {
match {
source-address 192.168.2.0/24;
destination-address 10.0.2.0/24;
}
then {
permit {
tunnel {
ipsec-vpn vpn1;
}
}
}
}
}
from-zone zone3 to-zone zone4 {
policy policy2 {
match {
source-address 192.168.3.0/24;
destination-address 10.0.3.0/24;
}
then {
permit {
tunnel {
ipsec-vpn vpn2;
}
}
}
}
}
[edit security ipsec]
user@host# show
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 2400;
}
policy ipsec_pol {
proposals ipsec_prop;
}
vpn vpn1 {
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
vpn vpn2 {
ike {
gateway gw2;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
Nach der Migration werden Sie die folgende Konfiguration bemerken. Beachten Sie, dass die Unterstützung für mehrere Datenverkehrsselektoren, Ports und Protokolle mit IKEv1 nicht verfügbar ist. Sie müssen die VPN-Objekte an dieselbe st0-Schnittstelle für den IPsec-VPN-Dienst binden, der den iked-Prozess verwendet. Sie können zwei verschiedene IKE-Gateways mit zwei unterschiedlichen IPsec-VPN-Objekten konfigurieren, die an dieselbe st0-Schnittstelle mit expliziter Datenverkehrsselektorenkonfiguration gebunden sind.
[edit security ipsec]
user@host# show
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 2400;
}
policy ipsec_pol {
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
traffic-selector ts1 {
local-ip 192.168.2.0/24;
remote-ip 10.0.2.0/24;
}
establish-tunnels immediately;
}
vpn vpn2 {
bind-interface st0.0;
ike {
gateway gw2;
ipsec-policy ipsec_pol;
}
traffic-selector ts1 {
local-ip 192.168.3.0/24;
remote-ip 10.0.3.0/24;
}
establish-tunnels immediately;
}
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.