Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Routenbasierte IPsec-VPNs

Ein routenbasiertes VPN ist eine Konfiguration, in der ein IPSec-VPN-Tunnel, der zwischen zwei Punkten erstellt wird, durch eine Route referenziert wird, die ermittelt, welcher Datenverkehr basierend auf einer Ziel-IP-Adresse durch den Tunnel gesendet wird.

Grundlegende Informationen zu routenbasierten IPsec-VPNs

Mit routenbasierten VPNs können Sie Dutzende von Sicherheitsrichtlinien konfigurieren, um den Datenverkehr, der durch einen einzelnen VPN-Tunnel zwischen zwei Standorten fließt, zu regeln, und es gibt nur einen Satz von IKE- und IPsec-SAs bei der Arbeit. Im Gegensatz zu richtlinienbasierten VPNs wird bei routenbasierten VPNs eine Richtlinie nicht als VPN-Tunnel, sondern als Zieladresse bezeichnet. Wenn Junos OS Route nach der Schnittstelle sucht, die den Datenverkehr an die Zieladresse des Pakets sendet, findet sie eine Route über eine sichere Tunnelschnittstelle (secure Tunnel Interface, st0). x). Die Tunnelschnittstelle ist an einen bestimmten VPN-Tunnel gebunden, und der Datenverkehr wird an den Tunnel geroutet, wenn die Richtlinienmaßnahmen erlaubt sind.

Eine Secure Tunnel (st0)-Schnittstelle unterstützt nur eine IPv4-Adresse und gleichzeitig eine IPv6-Adresse. Das gilt für alle Routen-VPNs. Die disable Option wird auf ST0-Schnittstellen nicht unterstützt.

Beispiele für Einsatz routenbasierter VPNs:

  • Zwischen den beiden LANs liegen überlappende Subnetze oder IP-Adressen vor.

  • Im Netzwerk wird eine Hub-and-Spoke-VPN-Topologie verwendet, und der Spoke-to-Spoke-Datenverkehr ist erforderlich.

  • Primäre und Backup-VPNs sind erforderlich.

  • Ein dynamisches Routingprotokoll (z. B. OSPF, RIP oder BGP) wird über das VPN ausgeführt.

    Die Konfiguration von RIP-Bedarfskreisläufen über Point-to-Multipoint VPN-Schnittstellen wird nicht unterstützt.

Wir empfehlen, dass Sie Routen-VPN verwenden, wenn Sie VPN zwischen mehreren Remotestandorten konfigurieren möchten. Routenbasiertes VPN ermöglicht das Routing zwischen den Spokes zwischen mehreren Remote-Standorten, einfacher zu konfigurieren, zu überwachen und Fehler zu beheben.

Beispiel: Konfigurieren eines Routen-basierten VPN

In diesem Beispiel wird gezeigt, wie Sie ein routenbasiertes IPsec-VPN konfigurieren, damit Daten sicher zwischen zwei Standorten übertragen werden können.

Anforderungen

In diesem Beispiel wird folgende Hardware verwendet:

  • Alle Geräte der SRX-Serie

    • Aktualisierte und erneute Aktualisierung mithilfe vSRX am Junos OS Release 20.4R1.
Anmerkung:

Möchten Sie praktische Erfahrungen mit den in diesem Leitfaden behandelten Themen und Vorgängen sammeln? Besuchen Sie die IPSec Routenbasierte VPN-Demo in Juniper Networks virtuellen Labs und reservieren Sie Ihre kostenlose Sandbox noch heute! Sie finden die Routen-basierte IPsec-VPN-Sandbox in der Kategorie Sicherheit.

Lesen Sie zunächst IPsec - Übersicht ...

Überblick

In diesem Beispiel konfigurieren Sie ein Routen-basiertes VPN auf SRX1 und SRX2. Host1 und Host2 verwenden das VPN, um Datenverkehr zwischen beiden Hosts sicher über das Internet zu senden.

Abbildung 1 zeigt ein Beispiel für eine routenbasierte VPN-Topologie.

Abbildung 1: Routenbasierte VPN-Topologie Routenbasierte VPN-Topologie

In diesem Beispiel konfigurieren Sie Schnittstellen, einen IPv4-Standardroute und Sicherheitszonen. Dann konfigurieren Sie IKE, IPsec, Sicherheitsrichtlinie und TCP-MSS-Parameter. Sehen Tabelle 1 Sie sich die in diesem Beispiel verwendeten Tabelle 5 Konfigurationsparameter an.

Tabelle 1: Schnittstellen-, statische Route-, Sicherheitszonen- und Sicherheitsrichtlinieninformationen für SRX1

Funktion

Name

Konfigurationsparameter

Schnittstellen

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

 

ST0.0 (Tunnelschnittstelle)

10.100.200.1/24

Statische Routen

10.100.22.0/24

0.0.0.0/0

Der nächste Hop ist ST0.0.

Der nächste Hop ist 172.16.13.2.

Sicherheitszonen

Vertrauen

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

 

nicht vertrauenswürdig

  • Die ge-0/0/1.0-Schnittstelle ist an diese Zone gebunden.

 

Vpn

  • Die St0.0-Schnittstelle ist an diese Zone gebunden.

Tabelle 2: IKE von Konfigurationsparametern

Funktion

Name

Konfigurationsparameter

Vorschlag

Standard

  • Authentifizierungsmethode: Pre-Shared Keys

Richtlinien

IKE-POL

  • Modus: Wichtigsten

  • Referenz für Vorschläge: Standard

  • IKE-Authentifizierungsmethode für Richtlinien: Pre-Shared Keys

Gateway

IKE-GW

  • IKE Richtlinienreferenz: IKE-POL

  • Externe Schnittstelle: ge-0/0/1

  • Gateway-Adresse: 172.16.23.1

Tabelle 3: IPsec-Konfigurationsparameter

Funktion

Name

Konfigurationsparameter

Vorschlag

Standard

  • Verwendung der Standardkonfiguration

Richtlinien

IPSEC-POL

  • Referenz für Vorschläge: Standard

VPN

VPN-to-Host2

  • IKE Gateway-Referenz: IKE-GW

  • IPsec-Richtlinienreferenz: IPSEC-POL

  • An Schnittstelle binden: st0.0

  • Einrichtung von Tunneln sofort
Tabelle 4: Konfigurationsparameter für Sicherheitsrichtlinien

Zweck

Name

Konfigurationsparameter

Die Sicherheitsrichtlinie ermöglicht Datenverkehr von der Trust Zone zur VPN-Zone.

VPN-OUT

  • Kriterien für Übereinstimmungen:

    • Quelladresse Host1-Net

    • Host2-Net für Zieladresse

    • Anwendungs-

  • Aktion: Genehmigung

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der VPN-Zone zur Trust Zone.

VPN-IN

  • Kriterien für Übereinstimmungen:

    • Quelladresse Host2-Net

    • Host1-Net für Zieladresse

    • Anwendungs-

  • Aktion: Genehmigung

Tabelle 5: TCP-MSS-Konfigurationsparameter

Zweck

Konfigurationsparameter

TCP-MSS wird als Teil des TCP-Three-Way-Handshakes ausgehandelt und beschränkt die maximale Größe eines TCP-Segments, um die MTU Grenzen eines Netzwerks besser zu bringen. Beim VPN-Datenverkehr kann der IPsec-Einkapselungs-Overhead in Verbindung mit dem IP- und Frame-Overhead dazu führen, dass das resultierende ESP-Paket den Wert MTU der physischen Schnittstelle überschreitet und so eine Fragmentierung verursacht. Fragmentierung erhöht die Bandbreite und die Geräteressourcen.

Wir empfehlen einen Wert von 1350 als Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einem Wert von MTU von 1500 oder mehr. Um eine optimale Leistung zu erzielen, müssen Sie möglicherweise verschiedene TCP-MSS-Werte ausprobieren. Sie könnten beispielsweise den Wert ändern, wenn ein Gerät MTU in der Pfad einen geringeren Pfad hat oder wenn ein zusätzlicher Overhead wie PPP oder Frame Relay besteht.

MSS-Wert: 1350

Konfiguration

Konfiguration grundlegender Netzwerk- und Sicherheitszoneninformationen

CLI-Konfiguration

Um diesen Abschnitt des Beispiels für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.

So konfigurieren Sie Informationen zu Schnittstellen, statischem Route und Sicherheitszonen:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie die statischen Routen.

  3. Weisen Sie die Internetverbindung der Sicherheitszone zu, die nicht vertrauenswürdig ist.

  4. Geben Sie die zulässigen Systemdienste für die nicht vertrauenswürdige Sicherheitszone an.

  5. Weisen Sie der Sicherheitszone mit Blick auf Host1 eine Schnittstelle zu.

  6. Geben Sie die zulässigen Systemservices für die Sicherheitszone der Vertrauensstellung an.

  7. Weisen Sie der VPN-Sicherheitszone die sichere Tunnelschnittstelle zu.

  8. Geben Sie die zulässigen Systemservices für die VPN-Sicherheitszone an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security zones eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Konfiguration IKE

CLI-Konfiguration

Um diesen Abschnitt des Beispiels für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im benutzerhandbuch CLI.

So konfigurieren Sie IKE:

  1. Erstellen Sie den IKE Vorschlag.

  2. Definieren Sie die IKE Authentifizierungsmethode für einen Vorschlag.

  3. Erstellen Sie IKE Richtlinien.

  4. Legen Sie den IKE fest.

  5. Geben Sie einen Bezug zum IKE an.

  6. Definieren Sie die IKE Authentifizierungsmethode für Richtlinien.

  7. Erstellen Sie ein IKE-Gateway und definieren Sie seine externe Schnittstelle.

  8. Definieren Sie den IKE Richtlinienreferenz.

  9. Definieren Sie die IKE Gateway-Adresse.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ike eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

IPsec-Konfiguration

CLI-Konfiguration

Um diesen Abschnitt des Beispiels für SRX1 schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.

So konfigurieren Sie IPsec:

  1. IPsec-Vorschlag erstellen.

  2. Erstellen Sie die IPsec-Richtlinie.

  3. Geben Sie die IPsec-Vorschlagreferenz an.

  4. Geben Sie das IKE Gateway an.

  5. Geben Sie die IPSec-Richtlinie an.

  6. Legen Sie die zu bindende Schnittstelle fest.

  7. Den Tunnel so konfigurieren, dass er sofort konfiguriert wird.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ipsec eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Konfigurieren von Sicherheitsrichtlinien

CLI-Konfiguration

Um Sicherheitsrichtlinien für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.

So konfigurieren Sie Sicherheitsrichtlinien:

  1. Erstellen Sie Adressbucheinträge für die Netzwerke, die in den Sicherheitsrichtlinien verwendet werden.

  2. Erstellen Sie eine Sicherheitsrichtlinie, um Datenverkehr von der Vertrauensszone zum Nicht-vertrauenswürdigen Bereich für Datenverkehr zum Internet zu ermöglichen.

  3. Erstellen Sie eine Sicherheitsrichtlinie, um Datenverkehr von Host1 in der Trust Zone zu ermöglichen, der an Host2 in der VPN-Zone bestimmt ist.

  4. Erstellen Sie eine Sicherheitsrichtlinie, um Datenverkehr von Host2 in der VPN-Zone zu Host1 in der Vertrauenszone zu ermöglichen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security address-bookshow security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Konfigurieren von TCP-MSS

CLI-Konfiguration

Um TCP MSS für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.

Zur Konfiguration von TCP-MSS-Informationen:

  1. Konfigurieren Sie die TCP-MSS-Informationen.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security flow eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfiguration von SRX2

CLI-Konfiguration

Als Referenz wird die Konfiguration für SRX2 bereitgestellt.

Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie line breaks, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Überprüfung

Führen Sie diese Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen des IKE Status

Zweck

Überprüfen Sie den IKE Status.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein. Verwenden Sie den Befehl, nachdem Sie eine Index-Nummer aus dem Befehl show security ike security-associations index index_number detail erhalten haben.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven IKE SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der IKE Einrichtung. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn Anforderungen aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist eindeutig für jede IKE SICHERHEITSzuordnung, die Sie im Befehl verwenden können, um weitere Informationen über die show security ike security-associations index detail Sicherheitszuordnung zu erhalten.

  • Remoteadresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.

  • Bundesland

    • UP – Die IKE SA wurde festgelegt.

    • DOWN: Es gab ein Problem bei der IKE SA.

  • Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.

Stellen Sie sicher, dass Folgendes in Ihrer Konfiguration korrekt ist:

  • Externe Schnittstellen (die Schnittstelle muss die Schnittstelle sein, die Pakete IKE erhält)

  • IKE von Richtlinienparametern

  • Preshared-Schlüsselinformationen

  • Vorschlagsparameter (müssen für beide Peers übereinstimmen)

Der show security ike security-associations index 1859340 detail Befehl listet zusätzliche Informationen über die Sicherheitsgemeinschaft mit einer Indexnummer 1859340 auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Lebensdauer

  • Datenverkehrsstatistiken (können verwendet werden, um den ordnungsgemäßen Datenverkehr in beide Richtungen zu überprüfen)

  • Rolleninformationen

    Die Fehlerbehebung wird am besten für Peers in der Rolle des Befragten durchgeführt.

  • Informationen für Daten von Wiesnern und Respondern

  • Anzahl erstellter IPsec-SAs

  • Anzahl der Verhandlungen, die noch in Bearbeitung sind

IPsec-Status überprüfen

Zweck

IPsec-Status überprüfen.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec security-associations ein. Verwenden Sie den Befehl, nachdem Sie eine Index-Nummer aus dem Befehl show security ipsec security-associations index index_number detail erhalten haben.

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Die ID-Nummer ist 131074. Nutzen Sie diesen Wert mit dem show security ipsec security-associations index Befehl, um weitere Informationen zu dieser speziellen Sicherheitszuordnung zu erhalten.

  • Es gibt ein IPsec SA-Paar mit Port 500, was bedeutet, dass kein IPSec-NAT implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen High-Number-Port.)

  • SpIs, die Lebensdauer (in Sekunden) und die Nutzungsbegrenzung (bzw. Lebenszeit in KB) sind für beide Richtungen dargestellt. Der Wert von 3403/unlim bedeutet, dass die Lebensdauer in 3403 Sekunden abläuft und keine Lebensdauer angegeben wurde. Dies deutet darauf hin, dass sie unbegrenzt ist. Die Lebensdauer kann von der Lebensdauer variieren, da IPsec nicht von IKE, nachdem das VPN eingerichtet ist.

  • Die VPN-Überwachung ist für diese SICHERHEITSzuordnung nicht aktiviert, wie in einer Bindestriche in der Spalte "Mon" angegeben. Wenn die VPN-Überwachung aktiviert ist, gibt U an, dass die Überwachung aktiv ist und D bedeutet, dass die Überwachung deaktiviert ist.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Die Ausgabe des show security ipsec security-associations index 131074 detail Befehls listet die folgenden Informationen auf:

  • Die proxy-ID für die Sicherheitszuordnung ist die lokale identität und die Remote-Identität.

    Ein Proxy-ID-Mismatch ist eine der häufigsten Ursachen für einen IPsec-Fehler. Falls keine IPsec SA aufgeführt ist, bestätigen Sie, dass IPsec-Angebote, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Bei routenbasierten VPNs ist die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können mit mehreren Routen-basierten VPNs von derselben Peer-IP-Adresse auftreten. In diesem Fall muss für jede IPSec-Sicherheitszuordnung eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbieter muss die Proxy-ID manuell eingegeben werden, um zu übereinstimmen.

  • Ein weiterer häufiger Grund für einen IPSec-Fehler ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, prüfen Sie das kmd-Protokoll oder setzen Sie Trace-Optionen.

Datenverkehrsfluss im VPN testen

Zweck

Überprüfen Sie den Datenverkehrsfluss im VPN.

Aktion

Verwenden Sie ping den Befehl vom Host1-Gerät zum Testen des Datenverkehrsflusses zu Host2.

Bedeutung

Wenn der Befehl von Host1 aus ausfällt, kann es ein Problem mit dem Routing, den Sicherheitsrichtlinien, dem Endhost oder der Verschlüsselung und Entschlüsselung von ESP-Paketen ping geben.

Überprüfen von Statistiken und Fehlern für eine IPsec Security Association

Zweck

Überprüfen der ESP- und Authentifizierungsüberschriftzähler und -fehler für eine IPsec-Sicherheits association.

Aktion

Geben Sie den Befehl im Betriebsmodus unter Verwendung der Indexnummer des VPN, für das Statistiken angezeigt werden, show security ipsec statistics index index_number ein.

Sie können den Befehl auch show security ipsec statistics verwenden, um Statistiken und Fehler für alle AAs zu überprüfen.

Verwenden Sie den Befehl, um alle IPsec-Statistiken zu clear security ipsec statistics löschen.

Bedeutung

Wenn sie Probleme mit Paketverlusten in einem VPN erkennen, führen Sie den bzw. den Befehl mehrmals aus, um zu bestätigen, ob die verschlüsselten und entschlüsselten Paketzähler show security ipsec statisticsshow security ipsec statistics detail inkrementieren. Achten Sie in der Befehlsausgabe auf Inkrementierung von Fehlerzählern.