REMOTE Access VPNs mit exklusivem NCP Remote Access Client
Der NCP Exclusive Remote Access Client ist Teil der NCP Exclusive Remote Access Lösung für Gateways der SRX-Serie von Juniper. Der VPN-Client ist nur mit NCP Exclusive Remote Access Management verfügbar. Verwenden Sie den exklusiven NCP-Client, um sichere, IPsec-basierte Datenverbindungen von jedem Standort aus einzurichten, wenn sie mit Gateways der SRX-Serie verbunden sind.
Grundlegendes zu IPsec-VPNs mit dem exklusiven NCP-Remotezugriffs-Client
In diesem Abschnitt wird die IPsec-VPN-Unterstützung auf Geräten der SRX-Serie für NCP Exclusive Remote Access Client-Software beschrieben.
- Exklusiver Remote Access Client von NCP
- Lizenzierung
- AutoVPN
- Datenverkehrs-Selektoren
- NCP Exklusive Client-Authentifizierung für remoteen Zugriff
- Client-Attribut- und IP-Adresszuweisung für Remotezugriff
- Unterstützte Funktionen
- Mögliche Einschränkungen der Aussagekraft der erhobenen Daten
Exklusiver Remote Access Client von NCP
Benutzer, die NCP Exclusive Remote Access Client-Software auf Windows- und MAC OS-Geräten ausführen, können IKEv1- oder IKEv2-IPsec-VPN-Verbindungen mit Geräten der SRX-Serie herstellen. NCP Exclusive Remote Access Client-Software kann von den NCP-Produkten heruntergeladen werden.
Lizenzierung
Eine Zweibenutzerlizenz wird standardmäßig auf einem Gerät der SRX-Serie bereitgestellt. Für zusätzliche Benutzer ist eine Lizenz erforderlich. Wenden Sie sich für alle Remote-Zugriffslizenzen an Ihren Ansprechpartner bei Juniper Networks.
Die Lizenzierung basiert auf der Anzahl der Benutzer. Wenn die Anzahl der installierten Lizenzen beispielsweise 100 Benutzer beträgt, können 100 verschiedene Benutzer VPN-Verbindungen herstellen. Aufgrund der Datenverkehrsauswahl kann jeder Benutzer mehrere Tunnel einrichten. Wenn ein Benutzer die Verbindung trennt, wird seine Lizenz eine Minute nach Ablauf der IKE- und IPsec-Sicherheitszuordnungen (SAs) freigegeben.
Die Lizenzdurchsetzung wird erst nach Abschluss der Phase 2-Aushandlung überprüft. Das bedeutet, dass ein Remotezugriffsbenutzer eine Verbindung mit dem Gerät der SRX-Serie herstellen kann und IKE und IPsec-SAs eingerichtet werden können, aber wenn der Benutzer die lizenzierte Benutzergrenze überschreitet, wird der Benutzer getrennt.
Die Lizenzierung für vSRX-Instanzen ist abonnementbasiert: angeschlossene Remotezugriffsbenutzer werden nicht sofort getrennt, wenn eine installierte Lizenz abläuft. Wenn ein Remotezugriffsbenutzer die Verbindung trennt und die entsprechenden IKE- und IPsec-SAs ablaufen, hängt die spätere erneute Verbindung des Benutzers davon ab, ob die derzeit installierte Lizenz abgelaufen ist oder nicht.
AutoVPN
Der NCP Exclusive Remote Access Client wird mit AutoVPN im Point-to-Point-Modus für sichere Tunnel-Schnittstellen unterstützt. AutoVPN wird nur auf routenbasierten IPsec-VPNs auf dem Gerät der SRX-Serie unterstützt.
Datenverkehrs-Selektoren
Die auf dem Gerät der SRX-Serie und dem NCP-Client konfigurierten Datenverkehr bestimmen den Client-Datenverkehr, der über den IPsec-VPN-Tunnel gesendet wird. Datenverkehr in und aus dem Tunnel ist nur für die ausgehandelten Datenverkehrswähler zulässig. Wenn die Routensuche nach der Zieladresse eines Pakets an eine st0-Schnittstelle verweist (auf der Die Datenverkehrsauswahl konfiguriert ist) und die Datenverkehrsauswahl des Pakets nicht mit der ausgehandelten Datenverkehrsauswahl übereinstimmt, wird das Paket gelöscht. Mehrere Phase-2-IPsec-SAs und auto Route Insertion (ARI) werden mit dem NCP Exclusive Remote Access Client unterstützt. Datenverkehrsauswahl oder flexible Übereinstimmung mit Port und Protokollen wird nicht unterstützt. Für diese Funktion muss die Remote-Adresse des Datenverkehrsauswahls 0.0.0.0/0 sein.
In vielen Fällen wird der gesamte Datenverkehr von Remote-Access-Clients über VPN-Tunnel gesendet. Die in der Datenverkehrsauswahl konfigurierte lokale Adresse kann 0.0.0.0/0 oder eine bestimmte Adresse sein, wie in den nächsten Abschnitten erläutert.
Die Konfiguration eines Datenverkehrsauswahl auf dem Gerät der SRX-Serie mit der Remote-Adresse 0.0.0.0/0 wird für NCP Exclusive Remote Access Client-Verbindungen unterstützt. Nach Abschluss der VPN-Aushandlung wird erwartet, dass die Remoteadresse für den Datenverkehrsauswahl eine einzelne IP-Adresse sein wird (die Adresse des Ras-Clients, der entweder einem RADIUS-Server oder dem lokalen Adressenpool zugewiesen wird).
Split Tunneling
Split Tunneling verwendet ein kürzeres Präfix als 0.0.0.0/0 als Adresse der geschützten Ressource für die lokale Adresse in einer Datenverkehrsauswahl, die auf dem Gerät der SRX-Serie konfiguriert ist. Ein entsprechender Datenverkehrsauswahl kann auf dem Ras-Client konfiguriert werden. Das Gerät der SRX-Serie ermöglicht Datenverkehr im VPN-Tunnel, der mit den Ergebnissen der flexiblen Übereinstimmung von beiden Datenverkehrswähler übereinstimmt. Wenn die auf dem RAS-Client konfigurierte Datenverkehrsauswahl nicht mit der auf dem Gerät der SRX-Serie konfigurierten Datenverkehrsauswahl abgeglichen werden kann, schlägt die Tunnel-Aushandlung fehl. Für IKEv1 müssen die lokalen und Remote-Adressen in der Datenverkehrsauswahlkonfiguration des Clients dieselben Adressen oder eine Teilmenge der Adressen in der entsprechenden Datenverkehrsauswahl sein, die auf dem Gerät der SRX-Serie konfiguriert ist.
Mehrere Subnetze
Auf dem Gerät der SRX-Serie kann für jedes geschützte Subnetz ein Datenverkehrs-Selektor konfiguriert werden. Subnetze können sich nicht überschneiden. Auf dem NCP Exclusive Remote Access Client muss für jede auf dem Gerät der SRX-Serie konfigurierte Datenverkehrsauswahl ein Selektor konfiguriert werden. Adressen, die im geteilten Tunnelfenster des NCP Exclusive Remote Access Client konfiguriert werden, werden als Remote-Datenverkehrsauswahl des Clients verwendet. diese Adressen müssen dieselben Adressen oder ein Teil der Adressen in der entsprechenden Datenverkehrsauswahl sein, die auf dem Gerät der SRX-Serie konfiguriert ist. Für jeden Datenverkehrselektor wird ein IPsec-SA-Paar erstellt.
NCP Exklusive Client-Authentifizierung für remoteen Zugriff
Es gibt zwei Arten der erweiterten Authentifizierung des NCP Exclusive Remote Access Client, abhängig von der IKE-Version des Clients:
IKEv1 NCP Exclusive Remote Access Client-Authentifizierung wird von XAuth unterstützt, wobei entweder ein RADIUS-Server oder ein lokales Zugriffsprofil verwendet wird. Für IKEv1-Remotezugriffsverbindungen werden vorinstallierte Schlüssel für die IKE Phase 1-Authentifizierung verwendet. Die erweiterte Authentifizierung (XAuth) wird zur Authentifizierung des Remotezugriffsbenutzers verwendet. Das Gerät der SRX-Serie muss für den aggressiven IKE-Modus konfiguriert werden.
Für den exklusiven Remote-Zugriff-Client IKEv1 NCP wird preshared Key-Authentifizierung mit AutoVPN unterstützt. Für AutoVPN-Bereitstellungen, die keine benutzerbasierte Authentifizierung verwenden, wird nur die Zertifikatsauthentifizierung unterstützt.
Die IKEv2 NCP Exclusive Remote Access Client-Authentifizierung erfordert einen RADIUS-Server, der EAP unterstützt. Das Gerät der SRX-Serie fungiert als Pass-Through-Authentifikator zur Weiterleitung von EAP-Nachrichten zwischen dem NCP Exclusive Remote Access Client und dem RADIUS-Server. Die folgenden EAP-Authentifizierungstypen werden unterstützt:
EAP-MSCHAPv2
Ein primärer Sitzungsschlüssel muss vom RADIUS-Server für EAP-MSCHAPv2 generiert werden.
EAP-MD5
EAP-TLS
Für den exklusiven Remote Access Client IKEv2 NCP wird zur Authentifizierung des Geräts der SRX-Serie ein digitales Zertifikat verwendet. Das Extensible Authentication Protocol (EAP) wird zur Authentifizierung des Remotezugriffs-Clients verwendet.
Client-Attribut- und IP-Adresszuweisung für Remotezugriff
Attributzuweisung
Für IKEv1- oder IKEv2-Remotezugriffs-Clients können Attribute über einen RADIUS-Server oder über die Konfiguration lokaler Netzwerkattribute zugewiesen werden. Wenn für die Authentifizierung ein RADIUS-Server verwendet wird, aber keine Netzwerkattribute zugewiesen werden, können Bei Bedarf Netzwerkattribute (einschließlich IP-Adressen) lokal konfiguriert werden.
Die folgenden Clientattribute basieren auf RFC 2865, Virtual Private Networks Identifier, und werden von IKEv1 und IKEv2 NCP Exclusive Remote Access Client unterstützt:
Framed-IP-Adresse
Gerahmte IP-Netzmaske
Die folgenden anbieterspezifischen Attribute (VSAs) von Juniper werden mit IKEv1 und IKEv2 NCP Exclusive Remote Access Client unterstützt:
Juniper Primary-DNS
Juniper Primary-Wins
Juniper Secondary-DNS (nur mit IKEv2 verfügbar)
Juniper Secondary-Wins (nur mit IKEv2 verfügbar)
Der VSA Juniper-Local-Group-Name wird nicht unterstützt.
IP-Adresszuweisung
Wenn eine IP-Adresse sowohl aus einem lokalen Adressenpool als auch von einem RADIUS-Server zugewiesen wird, hat die vom RADIUS-Server zugewiesene IP-Adresse Vorrang. Wenn der RADIUS-Server keine IP-Adresse zurücksendet und ein vom Benutzer konfigurierter lokaler Adresspool vorhanden ist, wird dem Remote-Client aus dem lokalen Pool eine IP-Adresse zugewiesen.
Die Anzahl der Adressen im lokalen Adressenpool oder RADIUS-Serveradresspool sollte größer sein als die Anzahl der Client-Remotezugriffsbenutzer. Dies liegt daran, dass es bis zu einer Minute dauern kann, bis der Benutzer abgemeldet wird, wenn ein Benutzer die Verbindung trennt.
Wenn eine IP-Adresse von einem externen RADIUS-Server oder einem lokalen Adressenpool zugewiesen wird, wird eine IP-Adresse mit einer 32-Bit-Maske an den exklusiven REMOTE-Zugriff-Client von NCP übergeben. Nach der Einrichtung des Tunnels fügt das Auto Route Insertion (ARI) automatisch eine statische Route zur IP-Adresse des Remote-Clients ein, sodass der Datenverkehr hinter dem Gerät der SRX-Serie in den VPN-Tunnel an die IP-Adresse des Clients gesendet werden kann.
Die konfigurierten Datenverkehrs-Selektoren decken möglicherweise nicht die IP-Adressen ab, die vom RADIUS-Server oder einem lokalen Adresspool zugewiesen werden. In diesem Fall ist ein Remote-Client möglicherweise nicht in der Lage, eine IP-Adresse eines anderen Remote-Clients im Subnetz über einen VPN-Tunnel zu erreichen. Es muss explizit ein Datenverkehrs-Selektor konfiguriert werden, der der IP-Adresse entspricht, die dem anderen Remote-Client vom RADIUS-Server oder dem lokalen Adressenpool zugewiesen wird.
Unterstützte Funktionen
Die folgenden Funktionen werden auf dem Gerät der SRX-Serie mit dem NCP Exclusive Remote Access Client unterstützt:
Initiierung des Datenverkehrs vom Gerät der SRX-Serie sowie vom NCP Exclusive Remote Access Client
Remotezugriffs-Clients hinter einem NAT-Gerät (NAT-T)
Erkennung toter Peers
Chassis-Cluster-Konfiguration des Geräts der SRX-Serie
Mögliche Einschränkungen der Aussagekraft der erhobenen Daten
Die folgenden Funktionen werden auf dem Gerät der SRX-Serie mit dem NCP Exclusive Remote Access Client nicht unterstützt:
Routing-Protokolle
AutoVPN mit der st0-Schnittstelle im Point-to-Multipoint-Modus
VPN mit automatischer Erkennung (ADVPN)
IKEv2 EAP mit vorinstallierten Schlüsseln
Der IKEv2 NCP Exclusive Remote Access Client muss Zertifikate für die Authentifizierung des Geräts der SRX-Serie verwenden.
Richtlinienbasiertes VPN
IPv6-Datenverkehr
VPN-Überwachung
Next-Hop-Tunnel-Bindung (NHTB), sowohl automatisch als auch manuell
Mehrere Datenverkehrs-Selektoren in der Aushandlung
Datenverkehrs selektoren, die vom NCP Exclusive Remote Access Client im selben virtuellen Router empfangen werden, dürfen keine überlappenden IP-Adressen enthalten
Siehe auch
Verständnis von SSL Remote Access VPNs mit NCP Exclusive Remote Access Client
In vielen öffentlichen Hotspot-Umgebungen wird UDP-Datenverkehr blockiert, während TCP-Verbindungen über Port 443 normalerweise erlaubt sind. Für diese Umgebungen können Geräte der SRX-Serie SSL Remote Access VPNs unterstützen, indem sie IPsec-Nachrichten innerhalb einer TCP-Verbindung verkapseln. Diese Implementierung ist kompatibel mit dem NCP Exclusive Remote Access Client eines Drittanbieters. In diesem Abschnitt wird die Unterstützung von NCP Exclusive Remote Access Client auf Geräten der SRX-Serie beschrieben.
- Vorteile von SSL Remote Access VPNs mit NCP Exclusive Remote Access Client
- Exklusiver Remote Access Client von NCP
- Lizenzierung
- Vorgang
- Unterstützte Funktionen
- Mögliche Einschränkungen der Aussagekraft der erhobenen Daten
Vorteile von SSL Remote Access VPNs mit NCP Exclusive Remote Access Client
Der sichere Remote-Zugriff ist auch dann gewährleistet, wenn ein Gerät zwischen Dem Client und dem Gateway Internet Key Exchange (IKE) (UDP-Port 500) blockiert.
Benutzer behalten den sicheren Zugriff auf Geschäftsanwendungen und -ressourcen in allen Arbeitsumgebungen.
Exklusiver Remote Access Client von NCP
Benutzer, die NCP Exclusive Remote Access Client-Software auf Windows-, macOS-, Apple iOS- und Android-Geräten ausführen, können tcp-Verbindungen über Port 443 mit Geräten der SRX-Serie herstellen, um gekapselten IPsec-Datenverkehr auszutauschen.
NCP Exclusive Remote Access Client wird in einem der beiden folgenden Modi ausgeführt:
NCP Path Finder v1, der IPsec-Nachrichten unterstützt, die innerhalb einer TCP-Verbindung über Port 443 gekapselt werden
NCP Path Finder v2, der IPsec-Nachrichten mit SSL/TLS-Verbindung unterstützt (NCP Path Finder v2 verwendet TLSv1.0.)
Ein korrekter SSL-Handshake erfolgt mithilfe von RSA-Zertifikaten. IPsec-Nachrichten werden mit Schlüsseln verschlüsselt, die während des SSL-Handshakes ausgetauscht werden. Dies führt zu doppelter Verschlüsselung, einmal für den SSL-Tunnel und noch einmal für den IPsec-Tunnel.
Für unterstützung im NCP Path Finder v2-Modus müssen RSA-Zertifikate auf dem Gerät der SRX-Serie geladen werden, und ein SSL-Terminierungsprofil, das auf das Zertifikat verweist, muss konfiguriert werden.
Der NCP Exclusive Remote Access Client bietet einen Fallback-Mechanismus für den Fall, dass regelmäßige IPsec-Verbindungsversuche scheitern, weil Firewall- oder Proxyserver den IPsec-Datenverkehr blockieren. Der NCP Path Finder v2-Modus ist eine Erweiterung, die eine vollständige TLS-Kommunikation bietet, die nicht von stark restriktiven Firewalls auf Anwendungsebene oder Proxies blockiert wird. Wenn eine normale IPsec-Verbindung nicht hergestellt werden kann, wechselt der EXKLUSIVE REMOTE-Zugriff-Client von NCP automatisch in den NCP Path Finder v1-Modus. Wenn der Client immer noch nicht zum Gateway gelangen kann, aktiviert NCP den NCP Path Finder v2-Modus mit der vollständigen TLS-Aushandlung.
Lizenzierung
Eine Zweibenutzerlizenz wird standardmäßig auf einem Gerät der SRX-Serie bereitgestellt. Für zusätzliche gleichzeitige Benutzer muss eine Lizenz erworben und installiert werden.
Vorgang
Auf einem Gerät der SRX-Serie definiert ein TCP-Kapselungsprofil den Datenkapselungsvorgang für Remotezugriffs-Clients. Mehrere TCP-Kapselungsprofile können für verschiedene Clients konfiguriert werden. Für jedes Profil werden die folgenden Informationen konfiguriert:
Name des Profils.
Optionale Protokollierung von Remotezugriffs-Client-Verbindungen.
Tracing-Optionen.
SSL-Terminierungsprofil für SSL-Verbindungen.
TCP-Verbindungen vom NCP Exclusive Remote Access Client werden an Port 443 des Geräts der SRX-Serie akzeptiert.
Das TCP-Kapselungsprofil wird mit der tcp-encap Anweisung auf der Hierarchieebene [edit security] konfiguriert. Das Kapselungsprofil wird dann mit der tcp-encap-profile Anweisung auf der Hierarchieebene [edit security ike gateway gateway-name] angegeben. Sie fügen das TCP-Kapselungsprofil in die IKE-Gateway-Konfiguration ein. Zum Beispiel:
user@host#set security tcp-encap profile ncpuser@host#set security tcp-encap profile ncp ssl-profile RemoteAccessuser@host#set security ike gateway RA tcp-encap-profile ncpuser@host#set security zones security-zone zone-name interfaces interface-name host-inbound-traffic system-services ikeuser@host#set security zones security-zone zone-name interfaces interface-name host-inbound-traffic system-services tcp-encap
Unterstützte Funktionen
Die folgenden Funktionen werden auf einem Gerät der SRX-Serie mit NCP Exclusive Remote Access Client unterstützt:
AutoVPN im Punkt-zu-Punkt-Modus mit IPsec-Tunneln basierend auf Datenverkehrs-Selektoren
Initiierung des Datenverkehrs von Geräten hinter dem Gateway auf einem Gerät der SRX-Serie
Erkennung toter Peers
Gehäuse-Cluster-Konfiguration eines Geräts der SRX-Serie
Mögliche Einschränkungen der Aussagekraft der erhobenen Daten
TCP-Verbindungen von NCP Exclusive Remote Access Clients verwenden Port 443 auf Geräten der SRX-Serie. Der J-Web-Geräteverwaltungs-Port sollte von Standard-Port 443 geändert werden, tcp-encap muss für Host-Inbound-Systemservices konfiguriert werden. Verwenden Sie den set security zones security-zone zone host-inbound-traffic system-services tcp-encap Befehl. (IKE muss auch für Host-inbound-Systemservices mit dem set security zones security-zone zone host-inbound-traffic system-services ike Befehl konfiguriert werden.)
Tunnel, die TCP-Verbindungen verwenden, überleben die ISSU möglicherweise nicht, wenn das Timeout für die Dead Peer Detection (DPD) nicht groß genug ist. Um ISSU zu überleben, erhöhen Sie das DPD-Timeout auf einen Wert von mehr als 120 Sekunden. Der DPD-Timeout ist ein Produkt des konfigurierten DPD-Intervalls und -Schwellenwerts. Wenn das DPD-Intervall beispielsweise 32 und der Schwellenwert 4 ist, beträgt das Timeout 128.
Die Standard-DPD-Einstellungen auf dem NCP Exclusive Remote Access Client geben das Senden von Nachrichten im Intervall von 20 Sekunden für maximal acht Mal an. Wenn ein Chassis-Cluster-Failover auftritt, werden die Geräte der SRX-Serie möglicherweise nicht innerhalb der parameter wiederherstellen, die in den DPD-Einstellungen angegeben wurden, und der Tunnel fällt aus. Erhöhen Sie in diesem Fall das DPD-Intervall auf dem NCP Exclusive Remote Access Client auf 60 Sekunden.
NAT-T wird während der Aushandlung mit Clients deaktiviert, auf denen die Konfiguration tcp-encap verwendet, da NAT-T für diese Tunnel nicht erforderlich ist.
Die folgenden Funktionen werden auf einem Gerät der SRX-Serie mit NCP Exclusive Remote Access Clients nicht unterstützt:
Routing-Protokolle
AutoVPN mit der st0-Schnittstelle im Point-to-Multipoint-Modus
VPN mit automatischer Erkennung (ADVPN)
Richtlinienbasiertes VPN
IPv6-Datenverkehr
VPN-Überwachung
Next-Hop-Tunnel-Bindung (NHTB), sowohl automatisch als auch manuell
Siehe auch
Beispiel: Konfigurieren des Geräts der SRX-Serie für exklusive NCP-Remotezugriffs-Clients
Dieses Beispiel zeigt, wie Sie ein Gerät der SRX-Serie oder eine vSRX-Instanz konfigurieren, um IKEv2 IPsec-VPN-Verbindungen von exklusiven NCP Exclusive Remote Access Clients zu unterstützen. Die Konfiguration unterstützt auch TCP-gekapselten Datenverkehr von NCP Exclusive Remote Access Clients.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Unterstützte Geräte der SRX-Serie oder vSRX-Instanz mit Junos OS Version 15.1X49-D80 oder höher.
NCP Exclusive Remote Access Client-Software muss auf unterstützten Benutzergeräten heruntergeladen werden.
Eine Zweibenutzerlizenz wird standardmäßig auf einem Gerät der SRX-Serie bereitgestellt. Eine Lizenz muss erworben und für weitere Benutzer installiert werden. Wenden Sie sich für alle Remote-Zugriffslizenzen an Ihren Ansprechpartner bei Juniper Networks.
Bevor Sie beginnen:
Auf dem Gerät der SRX-Serie:
Konfigurieren Sie Netzwerkschnittstellen.
TCP-Verbindungen von NCP Exclusive Remote Access Clients verwenden Port 443 auf Geräten der SRX-Serie. Das Gerätemanagement auf TCP-Verbindungen, wie j-Web, kann Port 443 auf Geräten der SRX-Serie verwenden. Der TCP-Kapselungssystemdienst muss für den eingehenden Host-Datenverkehr in der Zone konfiguriert werden, in der NCP Exclusive Remote Access Client-Verbindungen empfangen werden (in diesem Beispiel die nicht vertrauenswürdige Zone). Wenn J-Web an Port 443 verwendet wird, muss der Webmanagementsystemdienst für den eingehenden Host-Datenverkehr in der erforderlichen Zone konfiguriert werden.
Konfigurieren Sie den exklusiven NCP-Remotezugriffs-Client. Informationen dazu finden Sie in der Dokumentation des exklusiven Remote Access Client von NCP.
Die Konfiguration des NCP Exclusive Remote Access Client-Profils muss mit der VPN-Konfiguration auf dem Gerät der SRX-Serie übereinstimmen.
In diesem Beispiel authentifiziert ein externer RADIUS-Server (z. B. ein Active Directory-Server) IKEv2-Client-Benutzer mit exklusivem Remotezugriff mithilfe des EAP-TLS-Protokolls. In diesem Beispiel wird der RADIUS-Server mit der IP-Adresse 192.0.2.12 konfiguriert. Informationen zur Konfiguration der Benutzerauthentifizierung finden Sie in der RADIUS-Serverdokumentation.
Überblick
In diesem Beispiel werden IKEv2-Benutzer für exklusiven Remotezugriff mithilfe von EAP-TLS bei einem externen RADIUS-Server authentifiziert. Einem authentifizierten Client werden eine IP-Adresse und ein primärer DNS-Server aus einem lokalen Adresspool zugewiesen, der auf dem Gerät der SRX-Serie konfiguriert ist. Die Datenverkehrsauswahl ist mit 0.0.0.0/0 für die Remote- und lokalen Adressen konfiguriert, was bedeutet, dass jeglicher Datenverkehr im Tunnel zulässig ist.
TCP-Kapselung und IKE-Host-Eingehende Systemservices werden in der nicht vertrauenswürdigen Sicherheitszone konfiguriert. Wenn J-Web an Port 443 verwendet wird, sollte auch der HTTPS-Host-Inbound-Systemdienst konfiguriert werden.
In diesem Beispiel lassen die Sicherheitsrichtlinien den gesamten Datenverkehr zu. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden.
Tabelle 1 zeigt die IKE- und IPSec-Werte an, die auf dem Gerät der SRX-Serie zur Unterstützung von NCP Exclusive Remote Access Client-Verbindungen in diesem Beispiel konfiguriert wurden.
Option |
Wert |
|---|---|
IKE-Vorschlag: |
|
Authentifizierungsmethode |
rsa-Signaturen |
Diffie-Hellman (DH)-Gruppe |
gruppe19 |
Verschlüsselungsalgorithmus |
aes-256-gcm |
IKE-Richtlinie: |
|
Zertifikat |
lokales Zertifikat |
IKE-Gateway: |
|
Dynamische |
User-at-Hostname |
IKE-Benutzertyp |
group-ike-id |
Version |
v2-only |
IPsec-Vorschlag: |
|
Protokoll |
Esp |
Verschlüsselungsalgorithmus |
aes-256-gcm |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
gruppe19 |
Topologie
Abbildung 1 zeigt die Netzwerkverbindungen in diesem Beispiel.
Konfiguration
- Registrieren von Zertifikaten für das Gerät der SRX-Serie
- Konfigurieren des Geräts der SRX-Serie für Remote-Clients
Registrieren von Zertifikaten für das Gerät der SRX-Serie
Schritt-für-Schritt-Verfahren
In diesem Beispiel besteht der erste Schritt darin, ein CA-Zertifikat (Certificate Authority) und ein lokales Zertifikat für das Gerät der SRX-Serie zu registrieren. Das lokale Zertifikat wird verwendet, um das Gerät der SRX-Serie mithilfe einer Microsoft-Zertifizierungsstelle bei Remote-Clients zu authentifizieren. Ansonsten unterscheidet sich die folgende URL. Denken Sie daran, dass im folgenden Beispiel der CA-Server SCEP unterstützt.
Konfigurieren Sie das CA-Profil.
Die Konfiguration des CA-Profils hängt vom verwendeten CA-Server ab. In diesem Beispiel wird CRL verwendet, um die Zertifikatssperrung zu überprüfen. Verwenden Sie die entsprechenden Anmeldungen und CRL-URLs für Ihre Umgebung.
[edit] user@host# set security pki ca-profile CA_Server ca-identity CA_Server user@host# set security pki ca-profile CA_Server enrollment url http://192.0.2.12/certsrv/mscep/mscep.dll user@host# set security pki ca-profile CA_Server revocation-check crl url http://192.0.2.12/crl user@host$
commitDie CA-Profilkonfiguration muss festgelegt werden, bevor Sie fortfahren können.
Registrieren Sie das CA-Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile CA_Server
Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden, wenn der Wert vertrauenswürdig ist.
Überprüfen Sie das CA-Zertifikat, indem Sie seinen Sperrstatus überprüfen.
user@host> request security pki ca-certificate verify ca-profile CA_Server
Generieren Sie ein Schlüsselpaar für das lokale Zertifikat.
user@host> request security pki generate-key-pair certificate-id RemoteAccessNCP size 2048 bytes type rsa
Registrieren Sie das lokale Zertifikat. In diesem Beispiel wird das Zertifikat mit dem Simple Certificate Enrollment Protocol (SCEP) registriert.
user@host> request security pki local-certificate enroll scep ca-profile CA_Server certificate-id RemoteAccessNCP domain-name example.net subject DC=example.net,L=Sunnyvale,O=example,OU=example challenge-password <password>
Überprüfen Sie das lokale Zertifikat, indem Sie seinen Sperrstatus überprüfen.
user@host> request security pki local-certificate verify certificate-id RemoteAccessNCP
Konfigurieren des Geräts der SRX-Serie für Remote-Clients
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set access address-assignment pool RA_LOCAL-IP-POOL family inet network 198.51.100.0/24 set access address-assignment pool RA_LOCAL-IP-POOL family inet range REMOTEACCESS low 198.51.100.10 set access address-assignment pool RA_LOCAL-IP-POOL family inet range REMOTEACCESS high 198.51.100.254 set access address-assignment pool RA_LOCAL-IP-POOL family inet xauth-attributes primary-dns 192.0.2.12/32 set access profile RA_EXTERNAL-AUTH authentication-order radius set access profile RA_EXTERNAL-AUTH address-assignment pool RA_LOCAL-IP-POOL set access profile RA_EXTERNAL-AUTH radius-server 192.0.2.12 secret "$ABC123" set security tcp-encap profile NCP set services ssl termination profile RemoteAccess server-certificate RemoteAccessNCP set security tcp-encap profile NCP ssl-profile RemoteAccess set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.3/24 set interfaces st0 unit 0 family inet set security ike proposal CERT-DH19-AES256GCM authentication-method rsa-signatures set security ike proposal CERT-DH19-AES256GCM dh-group group19 set security ike proposal CERT-DH19-AES256GCM encryption-algorithm aes-256-gcm set security ike policy RA_IKEv2_EXT-AUTH proposals CERT-DH19-AES256GCM set security ike policy RA_IKEv2_EXT-AUTH certificate local-certificate RemoteAccessNCP set security ike gateway RA_IKEv2_EXT-AUTH ike-policy RA_IKEv2_EXT-AUTH set security ike gateway RA_IKEv2_EXT-AUTH dynamic user-at-hostname "remoteuser@example.net" set security ike gateway RA_IKEv2_EXT-AUTH dynamic ike-user-type group-ike-id set security ike gateway RA_IKEv2_EXT-AUTH external-interface ge-0/0/1.0 set security ike gateway RA_IKEv2_EXT-AUTH aaa access-profile RA_EXTERNAL-AUTH set security ike gateway RA_IKEv2_EXT-AUTH version v2-only set security ike gateway RA_IKEv2_EXT-AUTH tcp-encap-profile NCP set security ipsec proposal ESP-AES256GCM protocol esp set security ipsec proposal ESP-AES256GCM encryption-algorithm aes-256-gcm set security ipsec policy RemoteAccess perfect-forward-secrecy keys group19 set security ipsec policy RemoteAccess proposals ESP-AES256GCM set security ipsec vpn RA_IKEv2_EXT-AUTH bind-interface st0.0 set security ipsec vpn RA_IKEv2_EXT-AUTH ike gateway RA_IKEv2_EXT-AUTH set security ipsec vpn RA_IKEv2_EXT-AUTH ike ipsec-policy RemoteAccess set security ipsec vpn RA_IKEv2_EXT-AUTH traffic-selector NO-SPLIT local-ip 0.0.0.0/0 set security ipsec vpn RA_IKEv2_EXT-AUTH traffic-selector NO-SPLIT remote-ip 0.0.0.0/0 set security zones security-zone Untrust interfaces ge-0/0/1.0 set security zones security-zone Untrust host-inbound-traffic system-services ike set security zones security-zone Untrust host-inbound-traffic system-services tcp-encap set security zones security-zone Trust interfaces ge-0/0/2.0 set security zones security-zone VPN interfaces st0.0 set security address-book global address RemoteAccessNetworks 198.51.100.0/24 set security policies from-zone VPN to-zone Trust policy 1 match source-address RemoteAccessNetworks set security policies from-zone VPN to-zone Trust policy 1 match destination-address any set security policies from-zone VPN to-zone Trust policy 1 match application any set security policies from-zone VPN to-zone Trust policy 1 then permit set security policies from-zone VPN to-zone Trust policy 1 then log session-init set security policies from-zone VPN to-zone Trust policy 1 then log session-close set security policies from-zone Trust to-zone VPN policy 1 match source-address any set security policies from-zone Trust to-zone VPN policy 1 match destination-address RemoteAccessNetworks set security policies from-zone Trust to-zone VPN policy 1 match application any set security policies from-zone Trust to-zone VPN policy 1 then permit set security policies from-zone Trust to-zone VPN policy 1 then log session-init set security policies from-zone Trust to-zone VPN policy 1 then log session-close
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie das Gerät der SRX-Serie zur Unterstützung von NCP Exclusive Remote Access Clients:
Konfigurieren Sie den lokalen Adressenpool.
[edit access address-assignment pool RA_LOCAL-IP-POOL] user@host# set family inet network 198.51.100.0/24 user@host# set family inet range REMOTEACCESS low 198.51.100.10 user@host# set family inet range REMOTEACCESS high 198.51.100.254 user@host# set family inet xauth-attributes primary-dns 192.0.2.12/32
Konfigurieren Sie das lokale Zugriffsprofil.
[edit access profile RA_EXTERNAL-AUTH] user@host# set authentication-order radius user@host# set address-assignment pool RA_LOCAL-IP-POOL user@host# set radius-server 192.0.2.12 secret “$ABC123”
Konfigurieren Sie das TCP-Kapselungsprofil.
[edit] user@host# set security tcp-encap profile NCP
Erstellen Sie ein SSL-Terminierungsprofil.
[edit] user@host# set services ssl termination profile RemoteAccess server-certificate RemoteAccessNCP
Wenn das SSL-Terminierungsprofil nicht konfiguriert ist, wird der einzige NCP Path Finder v1-Modus unterstützt. Unterstützung für NCP Path Finder v2 muss ein SSL-Terminierungsprofil konfiguriert werden. NCP Path Finder v1 wird unterstützt, wenn das SSL-Terminierungsprofil konfiguriert ist.
Fügen Sie ein SSL-Profil an tcp-encap-Profil an.
[edit] user@host# set security tcp-encap profile NCP ssl-profile RemoteAccess
Konfigurieren Sie Schnittstellen.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.3/24 user@host# set interfaces st0 unit 0 family inet
Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und die Gateways.
[edit security ike proposal CERT-DH19-AES256GCM] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set encryption-algorithm aes-256-gcm [edit security ike policy RA_IKEv2_EXT-AUTH] user@host# set proposals CERT-DH19-AES256_SHA256 user@host# set certificate local-certificate RemoteAccessNCP [edit security ike gateway RA_IKEv2_EXT-AUTH] user@host# set ike-policy RA_IKEv2_EXT-AUTH user@host# set dynamic user-at-hostname "remoteuser@example.com" user@host# set dynamic ike-user-type group-ike-id user@host# set external-interface ge-0/0/1.0 user@host# set aaa access-profile RA_EXTERNAL-AUTH user@host# set version v2-only user@host# set tcp-encap-profile NCP
Konfigurieren Sie den IPsec-Vorschlag, die Richtlinie und das VPN.
[edit security ipsec proposal ESP-AES256GCM] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm [edit security ipsec policy RemoteAccess] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals ESP-AES256GCM [edit security ipsec vpn RA_IKEv2_EXT-AUTH] user@host# set bind-interface st0.0 user@host# set ike gateway RA_IKEv2_EXT-AUTH user@host# set ike ipsec-policy RemoteAccess user@host# set traffic-selector NO-SPLIT local-ip 0.0.0.0/0 user@host# set traffic-selector NO-SPLIT remote-ip 0.0.0.0/0
Zonen konfigurieren.
[edit security zones security-zone Untrust] user@host# set interfaces ge-0/0/1.0 user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services tcp-encap [edit security zones security-zone Trust] user@host# set interfaces ge-0/0/2.0 [edit security zones security-zone VPN] user@host# set interfaces st0.0
Konfigurieren Sie ein Adressbuch für die IP-Adressen, die Benutzern des Remotezugriffs zugewiesen wurden.
[edit security address-book global] user@host# set address RemoteAccessNetworks 198.51.100.0/24
Konfigurieren Sie Sicherheitsrichtlinien.
[edit security policies from-zone VPN to-zone Trust] user@host# set policy 1 match source-address RemoteAccessNetworks user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set policy 1 then log session-init user@host# set policy 1 then log session-close [edit security policies from-zone Trust to-zone VPN] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address RemoteAccessNetworks user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set policy 1 then log session-init user@host# set policy 1 then log session-close
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show access befehle eingeben show security . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show access
profile RA_EXTERNAL-AUTH {
authentication-order radius;
radius-server {
198.51.100.169 {
port 1812;
secret 192.0.2.12 secret "$ABC123"; ## SECRET-DATA
}
}
}
address-assignment {
pool RA_LOCAL-IP-POOL {
family inet {
network 198.51.100.0/24;
xauth-attributes {
primary-dns 192.0.2.12/32;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile xauth-users;
}
}
user@host# show security
pki {
ca-profile root-ca {
ca-identity root-ca;
revocation-check {
disable;
}
}
ca-profile CA_Server {
ca-identity CA_Server;
enrollment {
url http://192.0.2.12/certsrv/mscep/mscep.dll;
}
revocation-check {
crl {
url http://192.0.2.12/crl;
}
}
}
traceoptions {
flag all;
}
}
ike {
traceoptions {
file size 100m;
flag all;
level 15;
}
proposal CERT-DH19-AES256GCM {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-256;
encryption-algorithm aes-256-gcm;
lifetime-seconds 28800;
}
policy RA_IKEv2_EXT-AUTH {
proposals CERT-DH19-AES256GCM;
certificate {
local-certificate RemoteAccessNCP;
}
}
gateway RA_IKEv2_EXT-AUTH {
ike-policy RA_IKEv2_EXT-AUTH;
dynamic {
user-at-hostname "remoteuser@example.net";
ike-user-type group-ike-id;
}
dead-peer-detection {
always-send;
interval 60;
threshold 5;
}
external-interface ge-0/0/1.0;
aaa {
access-profile RA_EXTERNAL-AUTH;
}
version v2-only;
tcp-encap-profile NCP;
}
}
ipsec {
proposal ESP-AES256GCM {
protocol esp;
encryption-algorithm aes-256-gcm;
}
policy RemoteAccess {
perfect-forward-secrecy {
keys group19;
}
proposals ESP-AES256GCM;
}
vpn RA_IKEv2_EXT-AUTH {
bind-interface st0.0;
ike {
gateway RA_IKEv2_EXT-AUTH;
ipsec-policy RemoteAccess;
}
traffic-selector NO-SPLIT {
local-ip 0.0.0.0/0;
remote-ip 0.0.0.0/0;
}
}
}
address-book {
global {
address RemoteAccessNetworks 198.51.100.0/24;
}
}
flow {
traceoptions {
file flowd size 1g files 2;
flag all;
trace-level {
detail;
}
}
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
tcp-session {
maximum-window 1M;
}
}
policies {
from-zone VPN to-zone Trust {
policy 1 {
match {
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
from-zone Trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address RemoteAccessNetworks;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
}
tcp-encap {
traceoptions {
file tcp-encap-log;
level verbose;
flag all;
}
profile NCP {
ssl-profile RemoteAccess;
}
}
traceoptions {
file ipsec size 10m;
flag all;
}
zones {
security-zone Untrust {
host-inbound-traffic {
system-services {
ike;
tcp-encap;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone Trust {
interfaces {
ge-0/0/2.0;
}
}
security-zone VPN {
interfaces {
st0.0;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Einrichtung von IKE-SAs
- Überprüfung von Remotebenutzern und deren IP-Verbindungen
- Überprüfung von TCP-Kapselungssitzungen
Überprüfen der Einrichtung von IKE-SAs
Zweck
Zeigen Sie Informationen zu IKE-SAs an.
Aktion
Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2203522 UP c31358637e7a8e0d ac2aba751adeea8a IKEv2 198.51.100.200
Geben Sie im Betriebsmodus den show security ike security-associations detail Befehl ein.
user@host> show security ike security-associations detail
IKE peer 172.16.12.200, Index 2203522, Gateway Name: RA_IKEv2_EXT-AUTH
Role: Responder, State: UP
Initiator cookie: c31358637e7a8e0d, Responder cookie: ac2aba751adeea8a
Exchange type: IKEv2, Authentication method: RSA-signatures
Local: 192.0.1:500, Remote: 192.51.100.200:10952
Lifetime: Expires in 28719 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Enabled, Size: 576
Remote Access Client Info: Exclusive Client
Peer ike-id: remoteuser@example.net
AAA assigned IP: 198.51.100.23
Algorithms:
Authentication : hmac-sha256-128
Encryption : aes256-gcm
Pseudo random function: hmac-sha256
Diffie-Hellman group : DH-group-19
Traffic statistics:
Input bytes : 3384
Output bytes : 4923
Input packets: 9
Output packets: 13
Input fragmentated packets: 2
Output fragmentated packets: 7
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 192.51.100:500, Remote: 192.51.100.200:10952
Local identity: 192.51.100.59
Remote identity: remoteuser@example.net
Flags: IKE SA is created
Überprüfung von Remotebenutzern und deren IP-Verbindungen
Zweck
Zeigen Sie die Liste der verbundenen aktiven Benutzer mit Details zu den Peer-Adressen und Ports an, die sie verwenden.
Aktion
Geben Sie im Betriebsmodus den show security ike active-peer Befehl ein.
user@host> show security ike active-peer Remote Address Port Peer IKE-ID AAA username Assigned IP 192.51.100.200 56789 remoteuser@example.net bob 192.51.100.23
Geben Sie im Betriebsmodus den show security ike active-peer detail Befehl ein.
user@host> show security ike active-peer detail Peer address: 192.0.2.200, Port: 56789, Peer IKE-ID : remoteuser@example.net AAA username: bob Assigned network attributes: IP Address : 192.0.2.23 , netmask : 233.252.0.0 DNS Address : 192.0.2.12 , DNS2 Address : 0.0.0.0 WINS Address : 0.0.0.0 , WINS2 Address : 0.0.0.0 Previous Peer address : 0.0.0.0, Port : 0 Active IKE SA indexes : 42203522 IKE SA negotiated : 1 IPSec tunnels active : 1, IPSec Tunnel IDs : 67108891
Überprüfung von TCP-Kapselungssitzungen
Zweck
Zeigen Sie Informationen über TCP-Kapselungssitzungen an.
Aktion
Geben Sie im Betriebsmodus den show security tcp-encap connections Befehl ein.
user@host> show security tcp-encap connections
Location: FPC: 0, PIC: 0, PIC-NAME: fpc0
Total active connections: 1
Session-Id Client Gateway
2 NCP-Pathfinder-v2 203.0.113.0Geben Sie im Betriebsmodus den show security tcp-encap statistics Befehl ein.
user@host> show security tcp-encap statistics Location: FPC: 0, PIC: 0, PIC-NAME: fpc0 TCP encapsulation statistics: Policy Matched: 4 TCP sessions: 4