Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Routenbasierte und richtlinienbasierte VPNs mit NAT-T

Network Address Translation-Traversal (NAT-T) ist eine Methode zur Verwaltung von PROBLEMEN im Zusammenhang mit der IP-Adressenübersetzung, die auftreten, wenn die durch IPsec geschützten Daten ein Gerät passieren, das mit NAT für die Adressübersetzung konfiguriert wurde.

Nat-T verstehen

Network Address Translation-Traversal (NAT-T) ist eine Methode, um Probleme mit der IP-Adressübersetzung zu umgehen, die auftreten, wenn durch IPsec geschützte Daten ein NAT-Gerät zur Adressübersetzung passieren. Jede Änderung der IP-Adressierung, die die Funktion von NAT ist, führt dazu, dass IKE Pakete verwirft. Nach der Erkennung eines oder mehrerer NAT-Geräte entlang des Datenpfads während des Phase-1-Austauschs fügt NAT-T eine Ebene der UDP-Kapselung (User Datagram Protocol) zu IPsec-Paketen hinzu, sodass sie nach der Adressübersetzung nicht verworfen werden. NAT-T verkapselt sowohl IKE- als auch ESP-Datenverkehr innerhalb von UDP, wobei Port 4500 sowohl als Quell- als auch als Ziel-Port verwendet wird. Da NAT-Geräte veraltete UDP-Übersetzungen veraltet sind, sind Keepalive-Nachrichten zwischen den Peers erforderlich.

NAT-T ist standardmäßig aktiviert, daher müssen Sie die no-nat-traversal Anweisung auf Hierarchieebene [edit security ike gateway gateway-name zum Deaktivieren von NAT-T verwenden.

Es gibt zwei große Kategorien von NAT:

  • Statische NAT, bei der eine Eins-zu-Eins-Beziehung zwischen den privaten und öffentlichen Adressen besteht. Statische NAT funktioniert sowohl in eingehende als auch in ausgehende Richtungen.

  • Dynamische NAT, bei der es eine Many-to-One- oder Many-to-Many-Beziehung zwischen privaten und öffentlichen Adressen gibt. Dynamische NAT funktioniert nur in ausgehender Richtung.

Der Standort eines NAT-Geräts kann so sein, dass:

  • Nur der IKEv1- oder IKEv2-Initiator befindet sich hinter einem NAT-Gerät. Mehrere Initiatoren können hinter separaten NAT-Geräten stecken. Initiatoren können sich auch über mehrere NAT-Geräte mit dem Responder verbinden.

  • Nur der IKEv1- oder IKEv2-Responder befindet sich hinter einem NAT-Gerät.

  • Sowohl der IKEv1- oder IKEv2-Initiator als auch der Responder befinden sich hinter einem NAT-Gerät.

Dynamisches Endpunkt-VPN deckt die Situation ab, in der die externe IKE-Adresse des Initiators nicht festgelegt ist und daher dem Responder nicht bekannt ist. Dies kann auftreten, wenn die Adresse des Initiators dynamisch von einem ISP zugewiesen wird oder wenn die Verbindung des Initiators ein dynamisches NAT-Gerät passiert, das Adressen aus einem dynamischen Adressenpool zuweist.

Konfigurationsbeispiele für NAT-T sind für die Topologie, in der sich nur der Responder hinter einem NAT-Gerät befindet, und die Topologie, in der sich sowohl der Initiator als auch der Responder hinter einem NAT-Gerät befinden. Die Site-to-Site-IKE-Gateway-Konfiguration für NAT-T wird sowohl vom Initiator als auch vom Responder unterstützt. Eine Remote-IKE-ID wird verwendet, um die lokale IKE-ID eines Peers in Phase 1 der IKE-Tunnelaushandlung zu validieren. Sowohl der Initiator als auch der Responder erfordern eine local-identity und eine remote-identity Einstellung.

Auf SRX5400-, SRX5600- und SRX5800-Geräten sind die IPsec-NAT-T-Tunnelskalierung und die Aufrechterhaltung von Problemen wie folgt:

  • Für eine bestimmte private IP-Adresse sollte das NAT-Gerät sowohl 500 als auch 4500 private Ports in dieselbe öffentliche IP-Adresse übersetzen.

  • Die Gesamtzahl der Tunnel einer bestimmten öffentlich übersetzten IP darf 1000 Tunnel nicht überschreiten.

Ab Junos OS Version 19.2R1 wird PowerMode IPSec (PMI) für NAT-T nur auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt, die mit SRX5K-SPC3 Services Processing Card (SPC) oder mit der virtuellen Firewall vSRX ausgestattet sind.

Beispiel: Konfigurieren eines routenbasierten VPN mit dem Responder behind ein NAT-Gerät

Dieses Beispiel zeigt, wie Sie ein routenbasiertes VPN mit einem Responder hinter einem NAT-Gerät zwischen einer Zweigstelle und der Geschäftsstelle konfigurieren.

Anforderungen

Bevor Sie beginnen, lesen Sie IPsec – Übersicht.

Überblick

In diesem Beispiel konfigurieren Sie ein routenbasiertes VPN. Host1 nutzt das VPN, um eine Verbindung zum Hauptsitz des Unternehmens auf SRX2 herzustellen.

Abbildung 1 zeigt ein Beispiel für eine Topologie für routenbasiertes VPN mit nur dem Responder hinter einem NAT-Gerät.

Abbildung 1: Routenbasierte VPN-Topologie mit nur dem Responder behind ein NAT-Gerät Routenbasierte VPN-Topologie mit nur dem Responder behind ein NAT-Gerät

In diesem Beispiel konfigurieren Sie Schnittstellen, IPsec und Sicherheitsrichtlinien sowohl für einen Initiator in SRX1 als auch für einen Responder in SRX2. Dann konfigurieren Sie die Parameter für IKE Phase 1 und IPsec Phase 2.

SRX1 sendet Pakete mit der Zieladresse 172.1 6. 21.1 zur Einrichtung des VPN. Das NAT-Gerät übersetzt die Zieladresse in 10.1.31.1.

Sehen Sie Tabelle 1 sich die spezifischen Konfigurationsparameter an Tabelle 3 , die für den Initiator in den Beispielen verwendet werden.

Tabelle 1: Schnittstelle, Routing-Optionen und Sicherheitsparameterfür SRX1

Funktion

Name

Konfigurationsparameter

Schnittstellen

ge-0/0/1

172.16.11.1/24

 

ge-0/0/0

10.1.11.1/24

 

st0. 0 (Tunnelschnittstelle)

10.1.100.1/24

Statische Routen

10.1. 21,0/24

Der nächste Hop ist st0. 0.

 

172.16.21.1/32

Der nächste Hop ist 172. 16. 11.2.

Sicherheitszonen

nicht vertrauenswürdig

  • Die System services von IKE und Ping.

  • Ge-0/0/1.0 und st0. 0 Schnittstellen sind an diese Zone gebunden.

 

Vertrauen

  • Erlauben Sie ll-Systemservices.

  • Ll-Protokolle zulassen.

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

Sicherheitsrichtlinien

to-SRX2

Datenverkehr von 10.1.1 11 zulassen. 0/24 in der Vertrauenszone bis 10.1. 21. 0/24 in der Zone nicht vertrauenswürdig.

from-SRX2

Datenverkehr von 10.1 zulassen. 21. 0/24 in der nicht vertrauenswürdigen Zone bis 10.1.1 1 1. 0/24 in der Vertrauenszone.

Tabelle 2: IKE Phase 1 Konfigurationsparameter für SRX1

Funktion

Name

Konfigurationsparameter

Vorschlag

ike_prop

  • Authentifizierungsmethode: Pre-Shared-Keys

  • Diffie-Hellman-Gruppe: gruppe2

  • Authentifizierungsalgorithmus: sha1

  • Verschlüsselungsalgorithmus: 3des-cBC

Richtlinien

ike_pol

  • Modus: Wichtigsten

  • Referenz für den Vorschlag: ike_prop

  • IKE Phase 1 Richtlinienauthentifizierungsmethode: ascii-text mit freigegebenem Schlüssel

Gateway

gw1

  • IKE-Richtlinienreferenz: ike_pol

  • Externe Schnittstelle: ge-0/0/1,0

  • Gateway-Adresse: 172.16.21.1

  • Lokaler Peer (Initiator): branch_natt1@example.net

  • Remote-Peer (Responder): responder_natt1@example.net

Tabelle 3: IPsec Phase 2-Konfigurationsparameter für SRX1

Funktion

Name

Konfigurationsparameter

Vorschlag

ipsec_prop

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha1-96

  • Verschlüsselungsalgorithmus: 3des-cBC

Richtlinien

ipsec_pol

  • Referenz für den Vorschlag: ipsec_prop

  • Perfekte PfS-Schlüssel (Forward Secrecy): gruppe2

VPN

vpn1

  • IKE-Gateway-Referenz: gw1

  • IPsec-Richtlinienreferenz: ipsec_pol

  • An Schnittstelle binden: st0. 0

  • Tunnel sofort einrichten

Sehen Sie Tabelle 4 sich die spezifischen Konfigurationsparameter an Tabelle 6 , die für den Responder in den Beispielen verwendet werden.

Tabelle 4: Schnittstelle, Routing-Optionen und Sicherheitsparameterfür SRX2

Funktion

Name

Konfigurationsparameter

Schnittstellen

ge-0/0/1

10.1.31.1/24

 

ge-0/0/0

10.1.21.1/24

 

st0. 0 (Tunnelschnittstelle)

10.1.100.2/24

Statische Routen

172.16.11.1/32

Der nächste Hop ist 10.1. 31.2.

 

10.1.11.0/24

Der nächste Hop ist st0. 0.

Sicherheitszonen

nicht vertrauenswürdig

  • Erlauben Sie IKE- und Ping-System-Service s.

  • Ge-0/0/1.0 und st0. 0 Schnittstellen sind an diese Zone gebunden.

 

Vertrauen

  • Erlauben Sie ll-Systemservices.

    Ll-Protokolle zulassen.

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

Sicherheitsrichtlinien

to-SRX1

Datenverkehr von 10.1 zulassen. 21. 0/24 in der Vertrauenszone bis 10.1. 11. 0/24 in der Zone nicht vertrauenswürdig.

from-SRX1

Datenverkehr von 10.1 zulassen. 11. 0/24 in der nicht vertrauenswürdigen Zone bis 10.1. 21. 0/24 in der Vertrauenszone.

Tabelle 5: IKE Phase 1 Konfigurationsparameter für SRX2

Funktion

Name

Konfigurationsparameter

Vorschlag

ike_prop

  • Authentifizierungsmethode: Pre-Shared-Keys

  • Diffie-Hellman-Gruppe: gruppe2

  • Authentifizierungsalgorithmus: sha1

  • Verschlüsselungsalgorithmus: 3des-cBC

Richtlinien

ike_pol

  • Modus: Wichtigsten

  • Referenz für den Vorschlag: ike_prop

  • IKE Phase 1 Richtlinienauthentifizierungsmethode: ascii-text mit freigegebenem Schlüssel

Gateway

gw1

  • IKE-Richtlinienreferenz: ike_pol

  • Externe Schnittstelle: ge-0/0/1,0

  • Gateway-Adresse: 172.16.11.1

  • Lokaler Peer (Responder): responder_natt1@example.net

  • Remote-Peer (Initiator): branch_natt1@example.net

Tabelle 6: IPsec Phase 2-Konfigurationsparameter für SRX2

Funktion

Name

Konfigurationsparameter

Vorschlag

ipsec_prop

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha1-96

  • Verschlüsselungsalgorithmus: 3des-cBC

Richtlinien

ipsec_pol

  • Referenz für den Vorschlag: ipsec_prop

  • PFS-Schlüssel: gruppe2

VPN

vpn1

  • IKE-Gateway-Referenz: gw1

  • IPsec-Richtlinienreferenz: ipsec_pol

  • An Schnittstelle binden: st0. 0

  • Tunnel sofort einrichten

Konfiguration

Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheitsparametern für SRX1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Schnittstellens, statische Routes und Sicherheitsparameter:

  1. Konfigurieren Sie die mit dem Internet verbundenen Schnittstellen, Host1 und die für das VPN verwendete Schnittstelle.

  2. Konfigurieren Sie statische Routen für den Datenverkehr, der das VPN verwendet, und für SRX1, um das NAT-Gerät zu erreichen.

  3. Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.

  4. Konfigurieren Sie die Vertrauenssicherheitszone.

  5. Konfigurieren Sie Adressbücher für die Netzwerke, die in den Sicherheitsrichtlinien verwendet werden.

  6. Erstellen Sie Sicherheitsrichtlinien , um Datenverkehr zwischen den Hosts zu ermöglichen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show security show routing-optionsdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IKE für SRX1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE:

  1. Erstellen Sie einen IKE Phase 1-Vorschlag.

  2. Erstellen Sie eine IKE Phase-1-Richtlinie.

  3. Konfigurieren Sie die IKE Phase 1 Gateway-Parameter. Die Gateway-Adresse sollte die IP für das NAT-Gerät sein.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IPsec für SRX1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec:

  1. Erstellen Sie einen IPsec-Phase-2-Vorschlag.

  2. Erstellen Sie die IPsec-Phase-2-Richtlinie.

  3. Konfigurieren Sie die IPsec-VPN-Parameter.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheits-P-Arametern für SRX2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Schnittstellens, statische Routes und Sicherheitsparameter:

  1. Konfigurieren Sie die Schnittstellen, die mit dem Internet, Host2 und der für das VPN verwendeten Schnittstelle verbunden sind.

  2. Konfigurieren Sie statische Routen für den Datenverkehr, der das VPN verwendet, und für SRX2, um SRX1 zu erreichen.

  3. Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.

  4. Konfigurieren Sie die Vertrauenssicherheitszone.

  5. Konfigurieren Sie Adressbücher für die Netzwerke, die in den Sicherheitsrichtlinien verwendet werden.

  6. Erstellen Sie Sicherheitsrichtlinien, um Datenverkehr zwischen den Hosts zu ermöglichen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show securityshow routing-optionsdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IKE für SRX2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE:

  1. Erstellen Sie einen IKE Phase 1-Vorschlag.

  2. Erstellen Sie eine IKE Phase-1-Richtlinie.

  3. Konfigurieren Sie die IKE Phase 1 Gateway-Parameter. Die Gateway-Adresse sollte die IP für SRX1 sein.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IPsec für SRX2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec:

  1. Erstellen Sie einen IPsec-Phase-2-Vorschlag.

  2. Erstellen Sie die IPsec-Phase-2-Richtlinie.

  3. Konfigurieren Sie die IPsec-VPN-Parameter .

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration für das NAT-Gerät

CLI-Schnellkonfiguration

Im Beispiel wird statische NAT verwendet. Statische NAT ist bidirektional, was bedeutet, dass der Datenverkehr von 10.1.31.1 bis 172.16.11.1 dieselbe NAT-Konfiguration verwendet.

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen des IKE Phase 1-Status auf SRX1

Zweck

Überprüfen Sie den Status von IKE Phase 1.

Aktion

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Für eine detailliertere Ausgabe verwenden Sie den show security ike security-associations detail Befehl.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im show security ike security-associations index detail Befehl verwenden können, um weitere Informationen zur SA zu erhalten.

  • Remoteadresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist und dass Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird. Denken Sie daran, dass NAT-T sowohl IKE- als auch ESP-Datenverkehr innerhalb von UDP mit Port 4500 verkapselt.

  • Rolleninitiatorstatus

    • Up :Die Phase 1 SA wird eingerichtet.

    • Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.

    • Beide Peers im IPsec SA-Paar verwenden Port 4500.

    • Peer-IKE-ID: Stellen Sie sicher, dass die Remoteadresse korrekt ist.

    • Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese korrekt sind.

  • Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.

Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:

  • Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)

  • IKE-Richtlinienparameter

  • Vorab-Schlüsselinformationen

  • Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)

Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Phase 1 Lebensdauer

  • Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)

  • Rolleninformationen

    Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.

  • Informationen zu Initiatoren und Responder

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der laufenden Phase-2-Verhandlungen

Überprüfen der IPsec-Sicherheitszuordnungen auf SRX1

Zweck

Überprüfen Sie den IPsec-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Für eine detailliertere Ausgabe verwenden Sie den show security ipsec security-associations detail Befehl.

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Das Remote-Gateway hat eineAdresse von 1 72.1 6. 21.1.

  • Beide Peers im IPsec SA-Paar verwenden Port 4500.

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 2160/unlim zeigt an, dass die Lebensdauer der Phase 2 in 2160 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.

  • Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Überprüfung des IKE Phase 1-Status auf SRX2

Zweck

Überprüfen Sie den Status von IKE Phase 1.

Aktion

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Für eine detailliertere Ausgabe verwenden Sie den show security ike security-associations detail Befehl.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im show security ike security-associations detail Befehl verwenden können, um weitere Informationen zur SA zu erhalten.

  • Remoteadresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist und dass Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird.

  • Rollen-Responder-Status

    • Up: Phase 1 SA wurde eingerichtet.

    • Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.

    • Peer-IKE-ID: Stellen Sie sicher, dass die Adresse korrekt ist.

    • Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese Adressen korrekt sind.

  • Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.

Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:

  • Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)

  • IKE-Richtlinienparameter

  • Vorab-Schlüsselinformationen

  • Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)

Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Phase 1 Lebensdauer

  • Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)

  • Rolleninformationen

    Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.

  • Informationen zu Initiatoren und Responder

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der laufenden Phase-2-Verhandlungen

Überprüfen von IPsec-Sicherheitszuordnungen auf SRX2

Zweck

Überprüfen Sie den IPsec-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Für eine detailliertere Ausgabe verwenden Sie den show security ipsec security-associations detail Befehl.

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Das Remote-Gateway hat eine IP-Adresse von 172. 16. 11.1.

  • Beide Peers im IPsec SA-Paar verwenden Port 4500.

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 1562/unlim zeigt an, dass die Lebensdauer der Phase 2 in 1562 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.

  • Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Die Ausgabe des show security ipsec security-associations index index_iddetail Befehls listet die folgenden Informationen auf:

  • Die lokale und Remote-Identität machen die Proxy-ID für die SA aus.

    Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phase-2-Fehler. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass die Vorschläge der Phase 2, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Für routenbasierte VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können bei mehreren routenbasierten VPNs von derselben Peer-IP auftreten. In diesem Fall muss für jede IPsec-SA eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbietern muss die Proxy-ID zur Übereinstimmung manuell eingegeben werden.

  • Ein weiterer häufiger Grund für das Ausfallen von Phase 2 ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll oder legen Sie Trace-Optionen fest.

Überprüfung der Host-to-Host-Erreichbarkeit

Zweck

Stellen Sie sicher, dass Host1 host2 erreicht werden kann.

Aktion

Von Host1 ping Host2. Verwenden Sie den Befehl show security ipsec statistics auf SRX1, um zu überprüfen, ob der Datenverkehr über das VPN verwendet wird. Löschen Sie die Statistiken, indem Sie den Befehl clear security ipsec statistics ping verwenden, bevor Sie den ping-Befehl ausführen.

Bedeutung

Die Ausgaben zeigen, dass Host1 ping Host2 kann und dass der Datenverkehr das VPN verwendet.

Beispiel: Konfigurieren eines richtlinienbasierten VPN mit einem Initiator und einem Responder hinter einem NAT-Gerät

In diesem Beispiel wird gezeigt, wie Sie ein richtlinienbasiertes VPN mit einem Initiator und einem Responder hinter einem NAT-Gerät konfigurieren, damit Daten sicher zwischen einer Zweigstelle und dem Unternehmensbüro übertragen werden können.

Anforderungen

Bevor Sie beginnen, lesen Sie IPsec – Übersicht.

Überblick

In diesem Beispiel konfigurieren Sie ein richtlinienbasiertes VPN für eine Zweigstelle in Chicago, Illinois, da Sie Tunnelressourcen einsparen möchten, aber dennoch granulare Einschränkungen für den VPN-Datenverkehr erhalten möchten. Benutzer in der Zweigstelle nutzen das VPN, um sich mit ihrer Unternehmenszentrale in Sunnyvale, Kalifornien, zu verbinden.

In diesem Beispiel konfigurieren Sie Schnittstellen, Routing-Optionen, Sicherheitszonen und Sicherheitsrichtlinien sowohl für einen Initiator als auch für einen Responder.

Abbildung 2 zeigt ein Beispiel für eine Topologie für ein VPN mit einem Initiator und einem Responder hinter einem statischen NAT-Gerät.

Abbildung 2: Richtlinienbasierte VPN-Topologie mit einem Initiator und einem Responder hinter einem NAT-GerätRichtlinienbasierte VPN-Topologie mit einem Initiator und einem Responder hinter einem NAT-Gerät

In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute und Sicherheitszonen. Dann konfigurieren Sie IKE Phase 1, einschließlich lokaler und Remote-Peers, IPsec Phase 2 und die Sicherheitsrichtlinie. Beachten Sie im obigen Beispiel, dass die private IP-Adresse 13.168.11.1 des Responders vom statischen NAT-Gerät ausgeblendet und der öffentlichen IP-Adresse 1.1.100.1 zugeordnet wird.

Sehen Sie Tabelle 7 sich die spezifischen Konfigurationsparameter an Tabelle 10 , die für den Initiator in den Beispielen verwendet werden.

Tabelle 7: Schnittstelle, Routing-Optionen und Sicherheitszonen für den Initiator

Funktion

Name

Konfigurationsparameter

Schnittstellen

ge-0/0/0

12.168.99.100/24

 

ge-0/0/1

10.1.99.1/24

Statische Routen

10.2.99.0/24 (Standardroute)

Der nächste Hop ist 12.168.99.100.

 

1.1.100.0/24

12.168.99.100

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Alle Protokolle sind zulässig.

  • Die ge-0/0/1.0-Schnittstelle ist an diese Zone gebunden.

 

nicht vertrauenswürdig

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

Tabelle 8: IKE Phase 1 Konfigurationsparameter für den Initiator

Funktion

Name

Konfigurationsparameter

Vorschlag

ike_prop

  • Authentifizierungsmethode: Pre-Shared-Keys

  • Diffie-Hellman-Gruppe: gruppe2

  • Authentifizierungsalgorithmus: md5

  • Verschlüsselungsalgorithmus: 3des-cBC

Richtlinien

ike_pol

  • Modus: Wichtigsten

  • Referenz für den Vorschlag: ike_prop

  • IKE Phase 1 Richtlinienauthentifizierungsmethode: ascii-text mit freigegebenem Schlüssel

Gateway

Tor

  • IKE-Richtlinienreferenz: ike_pol

  • Externe Schnittstelle: ge-0/0/1,0

  • Gateway-Adresse: 1.1.100.23

  • Lokaler Peer ist name chicago

  • Remote-Peer ist hostname sunnyvale

Tabelle 9: IPsec Phase 2-Konfigurationsparameter für den Initiator

Funktion

Name

Konfigurationsparameter

Vorschlag

ipsec_prop

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-md5-96

  • Verschlüsselungsalgorithmus: 3des-cBC

Richtlinien

ipsec_pol

  • Referenz für den Vorschlag: ipsec_prop

  • Absolute Geheimhaltung bei Weiterleitung (PFS): gruppe1

VPN

first_vpn

  • IKE-Gateway-Referenz: Tor

  • IPsec-Richtlinienreferenz: ipsec_pol

Tabelle 10: Konfigurationsparameter für Sicherheitsrichtlinien für den Initiator

Zweck

Name

Konfigurationsparameter

Die Sicherheitsrichtlinie erlaubt den Tunnelverkehr von der Trust Zone zur nicht vertrauenswürdigen Zone.

pol1

  • Übereinstimmungskriterien:

    • Source-Address Any

    • Zieladresse any

    • Anwendung beliebiger

  • Aktion: Tunnel ipsec-vpn-first_vpn zulassen

Die Sicherheitsrichtlinie erlaubt den Tunnelverkehr von der nicht vertrauenswürdigen Zone zur Trust Zone.

pol1

  • Übereinstimmungskriterien:

    • Anwendung beliebiger

  • Aktion: Tunnel ipsec-vpn-first_vpn zulassen

Sehen Sie Tabelle 11 sich die spezifischen Konfigurationsparameter an Tabelle 14 , die für den Responder in den Beispielen verwendet werden.

Tabelle 11: Schnittstelle, Routing-Optionen und Sicherheitszonen für den Responder

Funktion

Name

Konfigurationsparameter

Schnittstellen

ge-0/0/0

13.168.11.100/24

 

ge-0/0/1

10.2.99.1/24

Statische Routen

10.1.99.0/24 (Standardroute)

Der nächste Hop ist 13.168.11.100

 

1.1.100.0/24

13.168.11.100

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Alle Protokolle sind zulässig.

  • Die ge-0/0/1.0-Schnittstelle ist an diese Zone gebunden.

 

nicht vertrauenswürdig

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

Tabelle 12: IKE Phase 1 Konfigurationsparameter für den Responder

Funktion

Name

Konfigurationsparameter

Vorschlag

ike_prop

  • Authentifizierungsmethode: Pre-Shared-Keys

  • Diffie-Hellman-Gruppe: gruppe2

  • Authentifizierungsalgorithmus: md5

  • Verschlüsselungsalgorithmus: 3des-cBC

Richtlinien

ike_pol

  • Modus: Wichtigsten

  • Referenz für den Vorschlag: ike_prop

  • IKE Phase 1 Richtlinienauthentifizierungsmethode: ascii-text mit freigegebenem Schlüssel

Gateway

Tor

  • IKE-Richtlinienreferenz: ike_pol

  • Externe Schnittstelle: ge-0/0/1,0

  • Gateway-Adresse: 1.1.100.22

  • Senden Sie immer Dead-Peer-Erkennung

  • Lokaler Peer ist Hostname Sunnyvale

  • Remote-Peer ist der Hostname Chicago

Tabelle 13: IPsec-Phase 2-Konfigurationsparameter für den Responder

Funktion

Name

Konfigurationsparameter

Vorschlag

ipsec_prop

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-md5-96

  • Verschlüsselungsalgorithmus: 3des-cBC

Richtlinien

ipsec_pol

  • Referenz für den Vorschlag: ipsec_prop

  • Absolute Geheimhaltung bei Weiterleitung (PFS): gruppe1

VPN

first_vpn

  • IKE-Gateway-Referenz: Tor

  • IPsec-Richtlinienreferenz: ipsec_pol

Tabelle 14: Konfigurationsparameter für Sicherheitsrichtlinien für den Responder

Zweck

Name

Konfigurationsparameter

Die Sicherheitsrichtlinie erlaubt den Tunnelverkehr von der Trust Zone zur nicht vertrauenswürdigen Zone.

pol1

  • Übereinstimmungskriterien:

    • Source-Address Any

    • Zieladresse any

    • Anwendung beliebiger

  • Aktion: Tunnel ipsec-vpn-first_vpn zulassen

Die Sicherheitsrichtlinie erlaubt den Tunnelverkehr von der nicht vertrauenswürdigen Zone zur Trust Zone.

pol1

  • Übereinstimmungskriterien:

    • Anwendung beliebiger

  • Aktion: Tunnel ipsec-vpn-first_vpn zulassen

Konfiguration

Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheitszonen für den Initiator

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Schnittstellen, statische Routen und Sicherheitszonen:

  1. Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die Vertrauenssicherheitszone.

  4. Weisen Sie der Trust Security Zone eine Schnittstelle zu.

  5. Geben Sie Systemservices für die Vertrauenssicherheitszone an.

  6. Weisen Sie der nicht vertrauenswürdigen Sicherheitszone eine Schnittstelle zu.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl und show security zonesshow routing-optionsdie show interfacesBefehle eingeben, wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IKE für den Initiator

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE:

  1. Erstellen Sie den IKE Phase 1-Vorschlag.

  2. Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.

  3. Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.

  4. Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.

  5. Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.

  6. Erstellen Sie eine IKE Phase-1-Richtlinie.

  7. Legen Sie den IKE Phase 1-Richtlinienmodus fest.

  8. Geben Sie einen Verweis auf den IKE-Vorschlag an.

  9. Definieren der IKE Phase 1-Richtlinienauthentifizierungsmethode.

  10. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie dessen externe Schnittstelle.

  11. Erstellen Sie eine IKE Phase 1 Gateway-Adresse.

  12. Definieren der IKE Phase 1-Richtlinienreferenz.

  13. Für den lokalen Peer festgelegt local-identity .

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IPsec für den Initiator

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec:

  1. Erstellen Sie einen IPsec-Phase-2-Vorschlag.

  2. Geben Sie das IPsec-Phase 2-Vorschlagsprotokoll an.

  3. Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.

  4. Geben Sie den IPsec Phase 2-Vorschlagsverschlüsselungsalgorithmus an.

  5. Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.

  6. Geben Sie IPsec Phase 2 an, um die perfect Forward Secrecy (PFS)-Gruppe1 zu verwenden.

  7. Geben Sie das IKE-Gateway an.

  8. Geben Sie die IPsec-Phase-2-Richtlinie an.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von Sicherheitsrichtlinien für den Initiator

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Sicherheitsrichtlinien:

  1. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone zur nicht vertrauenswürdigen Zone zuzulassen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der nicht vertrauenswürdigen Zone zur Vertrauenszone zuzulassen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

NAT-Konfiguration für den Initiator

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Initiator, der NAT bereitstellt:

  1. Konfigurieren Sie Schnittstellen.

  2. Zonen konfigurieren.

  3. NAT konfigurieren.

  4. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  5. Konfigurieren Sie die Routing-Option.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security nat Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von Schnittstellen, Routing-Optionen und Sicherheitszonen für den Responder

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Schnittstellen, statische Routen, Sicherheitszonen und Sicherheitsrichtlinien:

  1. Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Weisen Sie der nicht vertrauenswürdigen Sicherheitszone eine Schnittstelle zu.

  4. Konfigurieren Sie die Vertrauenssicherheitszone.

  5. Weisen Sie der Trust Security Zone eine Schnittstelle zu.

  6. Geben Sie zulässige Systemservices für die Vertrauenssicherheitszone an.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show security zonesshow routing-optionsdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IKE für Den Responder

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE:

  1. Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.

  2. Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.

  3. Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.

  4. Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.

  5. Erstellen Sie eine IKE Phase-1-Richtlinie.

  6. Legen Sie den IKE Phase 1-Richtlinienmodus fest.

  7. Geben Sie einen Verweis auf den IKE-Vorschlag an.

  8. Definieren der IKE Phase 1-Richtlinienauthentifizierungsmethode.

  9. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie seinen dynamischen Hostnamen.

  10. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie dessen externe Schnittstelle.

  11. Definieren der IKE Phase 1-Richtlinienreferenz.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IPsec für den Responder

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec:

  1. Erstellen Sie einen IPsec-Phase-2-Vorschlag.

  2. Geben Sie das IPsec-Phase 2-Vorschlagsprotokoll an.

  3. Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.

  4. Geben Sie den IPsec Phase 2-Vorschlagsverschlüsselungsalgorithmus an.

  5. Erstellen Sie die IPsec-Phase-2-Richtlinie.

  6. Legen Sie IPsec Phase 2 so fest, dass group1 (Perfect Forward Secrecy, PFS) verwendet wird.

  7. Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.

  8. Geben Sie das IKE-Gateway an.

  9. Geben Sie die IPsec-Phase-2-Richtlinie an.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von Sicherheitsrichtlinien für den Responder

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Sicherheitsrichtlinien:

  1. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone zur nicht vertrauenswürdigen Zone zuzulassen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der nicht vertrauenswürdigen Zone zur Vertrauenszone zuzulassen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Nat-Konfiguration für Den Responder

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Responder, der NAT bereitstellt:

  1. Konfigurieren Sie Schnittstellen.

  2. Zonen konfigurieren.

  3. NAT konfigurieren.

  4. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  5. Konfigurieren Sie die Routing-Option.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security nat Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen des IKE Phase 1-Status für den Initiator

Zweck

Überprüfen Sie den Status von IKE Phase 1.

Aktion

Bevor Sie mit der Überprüfung beginnen, müssen Sie Datenverkehr von einem Host im 10.1.99.0-Netzwerk an einen Host im 10.2.99.0-Netzwerk senden. Bei routenbasierten VPNs kann der Datenverkehr durch die Firewall der SRX-Serie über den Tunnel initiiert werden. Wir empfehlen, beim Testen von IPsec-Tunneln Testdatenverkehr von einem separaten Gerät auf der einen Seite des VPN an ein zweites Gerät auf der anderen Seite des VPN zu senden. Starten Sie beispielsweise einen Ping-Vorgang von 10.1.99.2 bis 10.2.99.2.

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im show security ike security-associations index detail Befehl verwenden können, um weitere Informationen zur SA zu erhalten.

  • Remoteadresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist und der Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird.

  • Rolleninitiatorstatus

    • Up: Phase 1 SA wurde eingerichtet.

    • Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.

    • Beide Peers im IPsec SA-Paar verwenden Port 4500, was anzeigt, dass NAT-T implementiert ist. (NAT-T verwendet Port 4500 oder einen anderen zufälligen, hochnummerierten Port.)

    • Peer-IKE-ID: Überprüfen Sie, ob die Remote-ID (Responder) korrekt ist. In diesem Beispiel lautet der Hostname sunnyvale.

    • Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese korrekt sind.

  • Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.

Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:

  • Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)

  • IKE-Richtlinienparameter

  • Vorab-Schlüsselinformationen

  • Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)

Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Phase 1 Lebensdauer

  • Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)

  • Rolleninformationen

    Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.

  • Informationen zu Initiatoren und Responder

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der laufenden Phase-2-Verhandlungen

Überprüfen von IPsec-Sicherheitszuordnungen für den Initiator

Zweck

Überprüfen Sie den IPsec-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Das Remote-Gateway hat eine NAT-Adresse von 13.168.11.100.

  • Beide Peers im IPsec SA-Paar verwenden Port 4500, was anzeigt, dass NAT-T implementiert ist. (NAT-T verwendet Port 4500 oder einen anderen zufälligen, hochnummerierten Port.).

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 3390/ unlimited zeigt an, dass die Lebensdauer der Phase 2 in 3390 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.

  • Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Überprüfung des IKE Phase 1-Status für den Responder

Zweck

Überprüfen Sie den Status von IKE Phase 1.

Aktion

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im show security ike security-associations index detail Befehl verwenden können, um weitere Informationen zur SA zu erhalten.

  • Remoteadresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist und der Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird.

  • Rollen-Responder-Status

    • Up: Phase 1 SA wurde eingerichtet.

    • Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.

    • Peer-IKE-ID: Stellen Sie sicher, dass die lokale ID des Peers korrekt ist. In diesem Beispiel lautet der Hostname chicago.

    • Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese korrekt sind.

  • Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.

Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:

  • Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)

  • IKE-Richtlinienparameter

  • Vorab-Schlüsselinformationen

  • Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)

Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Phase 1 Lebensdauer

  • Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)

  • Rolleninformationen

    Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.

  • Informationen zu Initiatoren und Responder

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der laufenden Phase-2-Verhandlungen

Überprüfen von IPsec-Sicherheitszuordnungen für den Responder

Zweck

Überprüfen Sie den IPsec-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Das Remote-Gateway hat eine NAT-Adresse von 1.1.100.23.

  • Beide Peers im IPsec SA-Paar verwenden Port 4500, was anzeigt, dass NAT-T implementiert ist. (NAT-T verwendet Port 4500 oder einen anderen zufälligen, hochnummerierten Port.)

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 3571/unlim zeigt an, dass die Lebensdauer der Phase 2 in 3571 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.

  • Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Beispiel: Konfiguration von NAT-T mit dynamischem Endpunkt-VPN

Dieses Beispiel zeigt, wie Sie ein routenbasiertes VPN konfigurieren, bei dem der IKEv2-Initiator ein dynamisches Endgerät hinter einem NAT-Gerät ist.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Firewalls der SRX-Serie, die in einem Chassis-Cluster konfiguriert sind

  • Eine Firewall der SRX-Serie mit NAT

  • Eine Firewall der SRX-Serie für Netzwerkzugriff in Zweigstellen

  • Junos OS Version 12.1X46-D10 oder höher für IKEv2 NAT-T-Unterstützung

Überblick

In diesem Beispiel wird ein IPsec-VPN zwischen der Zweigstelle (IKEv2-Initiator) und dem Hauptsitz (IKEv2 Responder) konfiguriert, um den Netzwerkverkehr zwischen den beiden Standorten zu sichern. Die Zweigstelle befindet sich hinter dem NAT-Gerät. Die Adresse der Zweigstelle wird dynamisch zugewiesen und ist dem Responder unbekannt. Der Initiator wird mit der Remote-Identität des Responders für die Tunnel-Aushandlung konfiguriert. Mit dieser Konfiguration wird ein dynamisches Endpunkt-VPN zwischen den Peers über das NAT-Gerät hinweg eingerichtet.

Abbildung 3 zeigt ein Beispiel für eine Topologie mit NAT-Traversal (NAT-T) und dynamischem Endpunkt-VPN.

Abbildung 3: NAT-T mit dynamischem Endpunkt-VPNNAT-T mit dynamischem Endpunkt-VPN

In diesem Beispiel wird die dem Gerät dynamisch zugewiesene IP-Adresse des Initiators, 192.179.100.50, vom NAT-Gerät ausgeblendet und in 100.10.10.1.253 übersetzt.

In diesem Beispiel gelten die folgenden Konfigurationsoptionen:

  • Die auf dem Initiator konfigurierte lokale Identität muss mit der auf dem Responder konfigurierten Remote-Gateway-Identität übereinstimmen.

  • Die Optionen für Phase 1 und Phase 2 müssen zwischen dem Initiator und dem Responder übereinstimmen.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr ermöglicht, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Ab Junos OS Version 12.1X46-D10 und Junos OS Version 17.3R1 wurde der Standardwert für die nat-keepalive auf [edit security ike gateway gateway-name] Hierarchieebene konfigurierte Option von 5 Sekunden auf 20 Sekunden geändert.

In SRX1400-, SRX3400-, SRX3600-, SRX5600- und SRX5800-Geräten funktionieren IKE-Verhandlungen mit NAT-Traversal nicht, wenn sich der IKE-Peer hinter einem NAT-Gerät befindet, das die Quell-IP-Adresse der IKE-Pakete während der Aushandlung ändert. Wenn das NAT-Gerät beispielsweise mit DIP konfiguriert ist, ändert es die Quell-IP, weil das IKE-Protokoll den UDP-Port von 500 auf 4500 wechselt. (Die Plattformunterstützung hängt von der Version des Junos OS in Ihrer Installation ab.)

Konfiguration

Konfigurieren des Zweigstellengeräts (IKEv2-Initiator)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie das Gerät in der Zweigstelle:

  1. Konfigurieren Sie Schnittstellen.

  2. Konfigurieren Sie Routing-Optionen.

  3. Zonen konfigurieren.

  4. Konfigurieren Sie Phasen-1-Optionen.

  5. Konfigurieren Sie Phasen-2-Optionen.

  6. Konfigurieren Sie die Sicherheitsrichtlinie.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show routing-options, , show security zonesshow security ike, show security ipsecund show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren des NAT-Geräts

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Zwischenrouter, der NAT bereitstellt:

  1. Konfigurieren Sie Schnittstellen.

  2. Zonen konfigurieren.

  3. NAT konfigurieren.

  4. Konfigurieren Sie die Standardsicherheitsrichtlinie.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show security zones, show security nat sourceund show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren des Hauptniederlassungsgeräts (IKEv2 Responder)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

  1. Konfigurieren Sie zwei Knoten als Gehäuse-Cluster.

  2. Konfigurieren Sie Schnittstellen.

  3. Konfigurieren Sie Routing-Optionen.

  4. Zonen konfigurieren.

  5. Konfigurieren Sie Phasen-1-Optionen.

  6. Konfigurieren Sie Phasen-2-Optionen.

  7. Konfigurieren Sie die Standardsicherheitsrichtlinie.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show chassis clusterBefehle , show interfaces, show routing-options, , show security ipsecshow security zonesshow security ikeund show security policies die Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des IKE Phase 1-Status für den Responder

Zweck

Überprüfen Sie den Status von IKE Phase 1.

Aktion

Geben Sie im Betriebsmodus auf Knoten 0 den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im show security ike security-associations index index_id detail Befehl verwenden können, um weitere Informationen zur SA zu erhalten.

  • Remoteadresse: Stellen Sie sicher, dass die lokale IP-Adresse korrekt ist und dass Port 4500 für die Peer-to-Peer-Kommunikation verwendet wird.

  • Rollen-Responder-Status

    • Up: Phase 1 SA wurde eingerichtet.

    • Unten: Es gab ein Problem bei der Einrichtung der Phase 1 SA.

    • Peer-IKE-ID: Stellen Sie sicher, dass die Adresse korrekt ist.

    • Lokale Identität und Remote-Identität: Stellen Sie sicher, dass diese Adressen korrekt sind.

  • Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.

Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:

  • Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete sendet)

  • IKE-Richtlinienparameter

  • Vorab-Schlüsselinformationen

  • Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)

Der show security ike security-associations Befehl listet zusätzliche Informationen zu Sicherheitszuordnungen auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Phase 1 Lebensdauer

  • Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)

  • Rolleninformationen

    Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.

  • Informationen zu Initiatoren und Responder

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der laufenden Phase-2-Verhandlungen

Überprüfen von IPsec-Sicherheitszuordnungen für den Responder

Zweck

Überprüfen Sie den IPsec-Status.

Aktion

Geben Sie im Betriebsmodus auf Knoten 0 den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Das Remote-Gateway hat eine IP-Adresse von 100.10.1.253.

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Lebenszeitwert gibt an, dass die Lebensdauer der Phase 2 in 7186 Sekunden abläuft und keine Lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Die Ausgabe des show security ipsec security-associations index index_id detail Befehls listet die folgenden Informationen auf:

  • Die lokale und Remote-Identität machen die Proxy-ID für die SA aus.

    Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phase-2-Fehler. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass die Vorschläge der Phase 2, einschließlich der Proxy-ID-Einstellungen, für beide Peers übereinstimmen. Für routenbasierte VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können bei mehreren routenbasierten VPNs von derselben Peer-IP auftreten. In diesem Fall muss für jede IPsec-SA eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbietern muss die Proxy-ID zur Übereinstimmung manuell eingegeben werden.

  • Ein weiterer häufiger Grund für das Ausfallen von Phase 2 ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll oder legen Sie Trace-Optionen fest.

Release-Verlaufstabelle
Release
Beschreibung
12.1X46-D10
Ab Junos OS Version 12.1X46-D10 und Junos OS Version 17.3R1 wurde der Standardwert für die nat-keepalive auf [edit security ike gateway gateway-name] Hierarchieebene konfigurierte Option von 5 Sekunden auf 20 Sekunden geändert.