Erstellen eines Remote-Zugriffs-VPN – Juniper Secure Connect

Namen

Geben Sie einen Namen für die Ras-Verbindung ein. Dieser Name wird als Bereichsname des Endbenutzers im Juniper Secure Connect Client angezeigt.

Beschreibung

Geben Sie eine Beschreibung ein. Diese Beschreibung wird für IKE- und IPsec-Vorschläge, Richtlinien, Remotezugriffsprofil, Client-Konfiguration und NAT-Regelsatz verwendet.

Beim Bearbeiten wird die IPsec-Richtlinienbeschreibung angezeigt. Die Beschreibungen der IPsec-Richtlinie und des Remotezugriffsprofils werden aktualisiert.

Routing-Modus

Diese Option ist für den Remotezugriff deaktiviert.

Standardmodus ist Traffic Selector (automatische Routeneinfügung).

Authentifizierungsmethode

Wählen Sie eine Authentifizierungsmethode aus der Liste aus, mit der das Gerät die Quelle von IKE-Nachrichten (Internet Key Exchange) authentifiziert:

• Pre-Shared Key (Standardmethode): Gibt an, dass bei der Authentifizierung ein pre-shared Key, ein geheimer Schlüssel, der zwischen den beiden Peers gemeinsam genutzt wird, verwendet wird, um die Peers untereinander zu identifizieren. Für jeden Peer muss derselbe Schlüssel konfiguriert werden. Dies ist die Standardmethode.

• Zertifikatsbasiert – Gibt die Art der digitalen Signaturen an, bei denen es sich um Zertifikate handelt, die die Identität des Zertifikatsinhabers bestätigen.

  Die unterstützte Signatur ist Rsa-Signaturen. Rsa-Signaturen gibt an, dass ein Public-Key-Algorithmus verwendet wird, der Verschlüsselung und digitale Signaturen unterstützt.

Firewall-Richtlinie automatisch erstellen

Wenn Sie Ja auswählen, wird automatisch eine Firewall-Richtlinie zwischen interner Zone und Tunnel-Schnittstellenzone mit lokalen geschützten Netzwerken als Quelladresse und remote geschützten Netzwerken als Zieladresse erstellt.

Eine weitere Firewall-Richtlinie wird visa-versa erstellt.

Wenn Sie "Nein" wählen, haben Sie keine Option für eine Firewall-Richtlinie. Sie müssen die erforderliche Firewall-Richtlinie manuell erstellen, damit dieses VPN funktioniert.

Remote-Benutzer

Zeigt das Remotebenutzersymbol in der Topologie an. Klicken Sie auf das Symbol, um die Juniper Secure Connect-Client-Einstellungen zu konfigurieren.

Weitere Informationen zu den Feldern finden Sie in Tabelle 2.

Lokales Gateway

Zeigt das Symbol für das lokale Gateway in der Topologie an. Klicken Sie auf das Symbol, um das lokale Gateway zu konfigurieren.

Weitere Informationen zu den Feldern finden Sie in Tabelle 3.

IKE- und IPsec-Einstellungen

Konfigurieren Sie den benutzerdefinierten IKE- oder IPsec-Vorschlag und den benutzerdefinierten IPsec-Vorschlag mit empfohlenen Algorithmen oder Werten.

Weitere Informationen zu den Feldern finden Sie in Tabelle 6.

Standardprofil

Aktivieren Sie diese Option, um den konfigurierten VPN-Namen als Standardprofil für den Remotezugriff zu verwenden.

Verbindungsmodus

Wählen Sie eine der folgenden Optionen aus der Liste aus, um die Juniper Secure Connect-Client-Verbindung herzustellen:

• Manuell: Sie müssen sich bei jeder Anmeldung manuell mit dem VPN-Tunnel verbinden.

• Immer: Sie werden bei jeder Anmeldung automatisch mit dem VPN-Tunnel verbunden.

Der Standard-Verbindungsmodus ist Manuell.

SSL-VPN

Aktivieren Sie diese Option, um eine SSL-VPN-Verbindung vom Juniper Secure Connect Client zum Gerät der SRX-Serie herzustellen.

Standardmäßig ist diese Option aktiviert.

Biometrische Authentifizierung

Aktivieren Sie diese Option zur Authentifizierung des Clientsystems mithilfe eindeutig konfigurierter Methoden.

Wenn Sie eine Verbindung im Client-System herstellen, wird eine Authentifizierungsaufforderung angezeigt. Die VPN-Verbindung wird erst nach erfolgreicher Authentifizierung über die für Windows Hello konfigurierte Methode (Fingerabdruckerkennung, Gesichtserkennung, PIN-Eingabe usw.) initiiert.

Windows Hello muss auf dem Client-System vorkonfiguriert sein, wenn die Option biometrische Authentifizierung aktiviert ist.

Erkennung toter Peers

Aktivieren Sie die Option Dead Peer Detection (DPD), damit der Juniper Secure Connect-Client erkennen kann, ob das Gerät der SRX-Serie erreichbar ist.

Deaktivieren Sie diese Option, damit der Juniper Secure Connect-Client erkennt, bis die Geräteverbindung der SRX-Serie wiederhergestellt ist.

Diese Option ist standardmäßig aktiviert.

DPD-Intervall

Geben Sie die Zeit ein, für die der Peer auf den Datenverkehr von seinem Ziel-Peer wartet, bevor er ein Anfragepaket für dead-Peer-Detection (DPD) sendet. Der Bereich beträgt 2 bis 60 Sekunden und der Standard ist 60 Sekunden.

DPD-Schwellenwert

Geben Sie die maximale Anzahl an nicht erfolgreichen DpD-Anfragen (Dead Peer Detection) ein, die gesendet werden sollen, bevor der Peer als nicht verfügbar gilt. Der Bereich ist 1 bis 5 und der Standard 5.

Zertifikate

Aktivieren Sie Zertifikate zur Konfiguration von Zertifikatsoptionen in Secure Client Connect.

Warnung: Ablauf

Aktivieren Sie diese Option, um die Warnung zum Ablauf des Zertifikats auf dem Secure Connect-Client anzuzeigen.

Diese Option ist standardmäßig aktiviert.

Warnintervall

Geben Sie das Intervall (Tage) ein, in dem die Warnung angezeigt werden soll.

Der Bereich beträgt 1 bis 90. Der Standardwert ist 60.

Pin-Req pro Verbindung

Aktivieren Sie diese Option, um die Zertifikats-Pin bei der Verbindung einzugeben.

Diese Option ist standardmäßig aktiviert.

EAP-TLS

Aktivieren Sie diese Option für den Authentifizierungsprozess. IKEv2 erfordert EAP für die Benutzerauthentifizierung. Das Gerät der SRX-Serie kann nicht als EAP-Server fungieren. Für IKEv2 EAP muss ein externer RADIUS-Server verwendet werden, um die EAP-Authentifizierung durchzuführen. SRX fungiert als Pass-Through-Authentifikator und leitet EAP-Nachrichten zwischen dem Juniper Secure Connect-Client und dem RADIUS-Server weiter.

Diese Option ist standardmäßig aktiviert.

Windows-Anmeldung

Aktivieren Sie diese Option, um Benutzern die sichere Anmeldung bei der Windows-Domäne zu ermöglichen, bevor sie sich am Windows-System anmelden. Der Client unterstützt die Domänenanmeldung mit einem Anmeldeinformations-Service Provider, nachdem eine VPN-Verbindung zum Unternehmensnetzwerk hergestellt wurde.

Domänennamen

Geben Sie den Systemdomänennamen ein, für den der Benutzercomputer protokolliert wird.

Modus

Wählen Sie eine der folgenden Optionen aus der Liste aus, um sich bei der Windows-Domäne anzumelden.

• Manuell: Sie müssen Ihre Anmeldedaten manuell auf dem Windows-Anmeldebildschirm eingeben.

• Automatisch: Die Client-Software überträgt die hier eingegebenen Daten ohne Ihre Handlung an die Microsoft-Anmeldeschnittstelle (Credential Provider).

Trennen bei Abmelden

Aktivieren Sie diese Option, um die Verbindung zu beenden, wenn das System in den Ruhe- oder Standby-Modus wechselt. Wenn das System aus dem Ruhezustand oder Standby-Modus wieder aufgenommen wird, muss die Verbindung erneut hergestellt werden.

Spülung der Nachweise bei Abmelden

Aktivieren Sie diese Option, um Benutzername und Kennwort aus dem Cache zu löschen. Sie müssen den Benutzernamen und das Passwort erneut eingeben.

Vorlaufzeit

Geben Sie die Vorlaufzeit ein, um die Zeit zwischen Netzwerkanmeldung und Domänenanmeldung zu initialisieren.

Nach der Einrichtung der Verbindung wird die Windows-Anmeldung erst ausgeführt, nachdem die hier festgelegte Initialisierungszeit abgelaufen ist.

EAP-Authentifizierung

Aktivieren Sie diese Option, um die EAP-Authentifizierung vor dem Zieldialog im Anmeldeinformationsanbieter auszuführen. Dann fragt das System nach der erforderlichen PIN, unabhängig davon, ob EAP für die spätere Einwahl erforderlich ist.

Wenn diese Option deaktiviert ist, wird nach der Zielauswahl die EAP-Authentifizierung ausgeführt.

Automatischer Dialog geöffnet

Aktivieren Sie diese Option, um auszuwählen, ob ein Dialogfeld für den Verbindungsaufbau zu einer Remotedomäne automatisch geöffnet werden soll.

Wenn diese Option deaktiviert ist, werden Das Kennwort und die PIN für den Client erst nach der Windows-Anmeldung abgefragt.

Gateway steckt hinter NAT

Aktivieren Sie diese Option, wenn sich das lokale Gateway hinter einem NAT-Gerät befindet.

NAT-IP-Adresse

Geben Sie die öffentliche IP-Adresse (NAT) des Geräts der SRX-Serie ein.

IKE-ID

Dieses Feld ist Pflichtfeld. Geben Sie die IKE-ID im Format user@example.com ein.

Externe Schnittstelle

Wählen Sie eine ausgehende Schnittstelle aus der Liste aus, zu der der Client eine Verbindung herstellen soll.

Die Liste enthält alle verfügbaren IP-Adressen, wenn mehr als eine IPv4-Adresse auf der angegebenen Schnittstelle konfiguriert ist. Die ausgewählte IP-Adresse wird als lokale Adresse unter dem IKE-Gateway konfiguriert.

Tunnelschnittstelle

Wählen Sie eine Schnittstelle aus der Liste aus, mit der der Client eine Verbindung herstellen soll.

Klicken Sie auf "Hinzufügen" , um eine neue Schnittstelle hinzuzufügen. Die Seite Tunnelschnittstelle erstellen wird angezeigt. Weitere Informationen zum Erstellen einer neuen Tunnelschnittstelle finden Sie in Tabelle 4.

Klicken Sie auf Bearbeiten , um die ausgewählte Tunnelschnittstelle zu bearbeiten.

Pre-shared Key

Geben Sie einen der folgenden Werte des preshared-Schlüssels ein:

• ascii-text – ASCII-Textschlüssel.

• hexadezimal – Hexadezimalschlüssel.

Lokales Zertifikat

Wählen Sie ein lokales Zertifikat aus der Liste aus.

Lokales Zertifikat listet nur die RSA-Zertifikate auf.

Klicken Sie auf "Hinzufügen", um ein Zertifikat hinzuzufügen. Weitere Informationen zum Hinzufügen eines Gerätezertifikats finden Sie unter Gerätezertifikat hinzufügen.

Klicken Sie auf Importieren, um ein Zertifikat zu importieren. Weitere Informationen zum Importieren eines Gerätezertifikats finden Sie unter Importieren eines Gerätezertifikats.

Vertrauenswürdige CA/Gruppe

Wählen Sie ein vertrauenswürdiges Zertifizierungs-/Gruppenprofil aus der Liste aus.

Klicken Sie zum Hinzufügen eines CA-Profils auf CA-Profil hinzufügen. Weitere Informationen zum Hinzufügen eines CA-Profils finden Sie unter Hinzufügen eines Zertifizierungsstellesprofils.

Benutzerauthentifizierung

Dieses Feld ist Pflichtfeld. Wählen Sie das Authentifizierungsprofil aus der Liste aus, das zur Authentifizierung des Benutzers verwendet wird, der auf das RAS-VPN zugreift.

Klicken Sie auf Hinzufügen , um ein neues Profil zu erstellen. Weitere Informationen zum Erstellen eines neuen Zugriffsprofils finden Sie unter Hinzufügen eines Zugriffsprofils.

SSL-VPN-Profil

Wählen Sie das SSL-VPN-Profil aus der Liste aus, das zum Beenden der Remotezugriffsverbindungen verwendet wird.

So erstellen Sie ein neues SSL-VPN-Profil:

1. Klicken Sie auf "Hinzufügen".

2. Geben Sie die folgenden Details ein:

   • Name: Geben Sie den Namen für ein SSL-VPN-Profil ein.

   • Protokollierung: Aktivieren Sie diese Option, um für SSL-VPN zu protokollieren.

   • SSL-Terminierungsprofil: Wählen Sie ein SSL-Terminierungsprofil aus der Liste aus.

     So fügen Sie ein neues SSL-Terminierungsprofil hinzu:

     1. Klicken Sie auf "Hinzufügen".

        Die Seite SSL-Terminierungsprofil erstellen wird angezeigt.

     2. Geben Sie die folgenden Details ein:

        • Name: Geben Sie einen Namen für das SSL-Terminierungsprofil ein.

        • Serverzertifikat: Wählen Sie ein Serverzertifikat aus der Liste aus.

          Klicken Sie auf "Hinzufügen", um ein Zertifikat hinzuzufügen. Weitere Informationen zum Hinzufügen eines Gerätezertifikats finden Sie unter Gerätezertifikat hinzufügen.

          Klicken Sie auf Importieren, um ein Zertifikat zu importieren. Weitere Informationen zum Importieren eines Gerätezertifikats finden Sie unter Importieren eines Gerätezertifikats.

        • Klicken Sie auf OK.

     3. Klicken Sie auf OK.

3. Klicken Sie auf OK.

Quell-NAT-Datenverkehr

Diese Option ist standardmäßig aktiviert.

Der gesamte Datenverkehr vom Juniper Secure Connect-Client ist standardmäßig NATed an die ausgewählte Schnittstelle.

Wenn sie deaktiviert ist, müssen Sie sicherstellen, dass sie über eine Route von Ihrem Netzwerk auf die Geräte der SRX-Serie verweisen, um den rücksenden Datenverkehr korrekt zu behandeln.

Schnittstelle

Wählen Sie eine Schnittstelle aus der Liste aus, durch die der Quell-NAT-Datenverkehr geleitet wird.

Geschützte Netzwerke

Klicken Sie auf +. Die Seite "Geschützte Netzwerke erstellen" wird angezeigt.

Zone

Wählen Sie eine Sicherheitszone aus der Liste aus, die als Quellzone in der Firewall-Richtlinie verwendet wird.

Globale Adresse

Wählen Sie die Adressen aus der Spalte Verfügbar aus, und klicken Sie dann auf den Pfeil nach rechts, um sie in die Spalte Ausgewählt zu verschieben.

Klicken Sie auf Hinzufügen , um die Netzwerke auszuwählen, mit dem der Client eine Verbindung herstellen kann.

Die Seite Globale Adresse erstellen wird angezeigt. Weitere Informationen zu den Feldern finden Sie in Tabelle 5.

Bearbeiten

Wählen Sie das geschützte Netzwerk aus, das Sie bearbeiten möchten, und klicken Sie auf das Bleistiftsymbol.

Die Seite "Geschützte Netzwerke bearbeiten" wird mit bearbeitbaren Feldern angezeigt.

Löschen

Wählen Sie das geschützte Netzwerk aus, das Sie bearbeiten möchten, und klicken Sie auf das Symbol "Löschen".

Die Bestätigungsnachricht wird angezeigt.

Klicken Sie auf Ja , um das geschützte Netzwerk zu löschen.

Schnittstelleneinheit

Geben Sie die logische Einheitsnummer ein.

Beschreibung

Geben Sie eine Beschreibung für die logische Schnittstelle ein.

Zone

Wählen Sie eine Zone aus der Liste aus, um sie der Tunnelschnittstelle hinzuzufügen.

Diese Zone wird bei der automatischen Erstellung der Firewall-Richtlinie verwendet.

Klicken Sie auf Hinzufügen , um eine neue Zone hinzuzufügen. Geben Sie den Namen und die Beschreibung der Zone ein, und klicken Sie auf der Seite Sicherheitszone erstellen auf OK .

Routing-Instanz

Wählen Sie eine Routing-Instanz aus der Liste aus.

Namen

Geben Sie einen Namen für die globale Adresse ein. Der Name muss eine eindeutige Zeichenfolge sein, die mit einem alphanumerischen Zeichen beginnen muss und Doppelpunkte, Punkte, Striche und Unterstriche enthalten kann. keine Plätze erlaubt; Maximal 63 Zeichen.

IP-Typ

Wählen Sie IPv4 aus.

IPv4-Adresse

Geben Sie eine gültige IPv4-Adresse ein.

Subnetz

Geben Sie das Subnetz für die IPv4-Adresse ein.

Verschlüsselungsalgorithmus

Wählen Sie den entsprechenden Verschlüsselungsmechanismus aus der Liste aus.

Der Standardwert ist AES-CBC 256-Bit.

Authentifizierungsalgorithmus

Wählen Sie den Authentifizierungsalgorithmus aus der Liste aus. Zum Beispiel SHA 256-Bit.

DH-Gruppe

Ein Diffie-Hellman (DH)-Austausch ermöglicht es den Teilnehmern, einen gemeinsamen geheimen Wert zu generieren. Wählen Sie die entsprechende DH-Gruppe aus der Liste aus. Der Standardwert ist group19.

Lebensdauer sekunden

Wählen Sie die Lebensdauer (in Sekunden) einer IKE Security Association (SA) aus.

Der Standardwert ist 28.800 Sekunden. Reichweite: 180 bis 86.400 Sekunden.

Erkennung toter Peers

Aktivieren Sie diese Option, um Anfragen zur Erkennung toter Peers unabhängig davon, ob ausgehender IPsec-Datenverkehr an den Peer gesendet wird.

DPD-Modus

Wählen Sie eine der Optionen aus der Liste aus:

• optimiert– Senden von Sondierungen nur, wenn ausgehender Datenverkehr und kein eingehender Datenverkehr vorhanden ist – RFC3706 (Standardmodus).

• probe-idle-tunnel: Senden Sie Probes wie im optimierten Modus und auch, wenn kein ausgehender und eingehender Datenverkehr vorhanden ist.

• immer senden: Senden Sie Probes in regelmäßigen Abständen unabhängig vom eingehenden und ausgehenden Datenverkehr.

DPD-Intervall

Wählen Sie ein Intervall (in Sekunden) aus, um Meldungen zur Erkennung toter Peers zu senden. Das Standardintervall beträgt 10 Sekunden. Die Reichweite beträgt 2 bis 60 Sekunden.

DPD-Schwellenwert

Wählen Sie eine Zahl von 1 bis 5 aus, um den Schwellenwert für fehlerbezogene DPD festzulegen.

Dies gibt die maximale Anzahl von DPD-Nachrichten an, die gesendet werden müssen, wenn keine Antwort vom Peer erfolgt. Die Standardanzahl der Übertragungen ist das Fünffache.

NAT-T

Aktivieren Sie diese Option für IPsec-Datenverkehr, der ein NAT-Gerät passiert.

NAT-T ist ein IKE-Phase-1-Algorithmus, der verwendet wird, wenn versucht wird, eine VPN-Verbindung zwischen zwei Gateway-Geräten herzustellen, bei denen sich ein NAT-Gerät vor einem der Geräte der SRX-Serie befindet.

NAT Am Leben erhalten

Wählen Sie das entsprechende Keepalive-Intervall in Sekunden aus. Bereich: 1 bis 300.

Wenn beim VPN eine große Inaktivität erwartet wird, können Sie Keepalive-Werte konfigurieren, um künstlichen Datenverkehr zu generieren, um die Sitzung auf den NAT-Geräten aktiv zu halten.

Begrenzung der IKE-Verbindung

Geben Sie die Anzahl der gleichzeitigen Verbindungen ein, die das VPN-Profil unterstützt.

Der Bereich beträgt 1 bis 4294967295.

Wenn die maximale Anzahl von Verbindungen erreicht ist, können keine VPN-Endgeräte (Remote Access User), die versuchen, auf ein IPsec-VPN zuzugreifen, mit Internet Key Exchange (IKE)-Verhandlungen beginnen.

IKEv2-Fragmentierung

Diese Option ist standardmäßig aktiviert. Die IKEv2-Fragmentierung teilt eine große IKEv2-Nachricht in eine Reihe kleinerer Nachrichten auf, sodass es auf IP-Ebene keine Fragmentierung gibt. Die Fragmentierung erfolgt, bevor die ursprüngliche Nachricht verschlüsselt und authentifiziert wird, sodass jedes Fragment separat verschlüsselt und authentifiziert wird.

IKEv2 Fragmentgröße

Wählen Sie die maximale Größe (in Bytes) einer IKEv2-Nachricht aus, bevor sie in Fragmente aufgeteilt wird.

Die Größe gilt für IPv4-Nachrichten. Bereich: 570 bis 1.320 Bytes.

Der Standardwert ist 576 Bytes.

Verschlüsselungsalgorithmus

Wählen Sie die Verschlüsselungsmethode aus. Der Standardwert ist AES-GCM 256-Bit.

Authentifizierungsalgorithmus

Wählen Sie den IPsec-Authentifizierungsalgorithmus aus der Liste aus. Zum Beispiel HMAC-SHA-256-128.

Absolute Geheimhaltung bei der Weiterleitung

Wählen Sie in der Liste Perfect Forward Secrecy (PFS) aus. Das Gerät verwendet diese Methode, um den Verschlüsselungsschlüssel zu generieren. Der Standardwert ist group19.

PFS generiert jeden neuen Verschlüsselungsschlüssel unabhängig vom vorherigen Schlüssel. Die höher nummerierten Gruppen bieten mehr Sicherheit, erfordern aber mehr Verarbeitungszeit.

Lebensdauer sekunden

Wählen Sie die Lebensdauer (in Sekunden) einer IPsec-Sicherheitszuordnung (SA) aus. Wenn die SA abläuft, wird sie durch einen neuen SA und Security Parameter Index (SPI) ersetzt oder beendet. Der Standard ist 3.600 Sekunden. Reichweite: 180 bis 86.400 Sekunden.

Lebenslanges Kilobyte

Wählen Sie die Lebensdauer (in Kilobyte) einer IPsec-SA aus. Die Standardeinstellung ist 256kb. Reichweite: 64 bis 4294967294.

Anti-Replay

IPsec schützt vor VPN-Angriffen, indem eine in das IPsec-Paket integrierte Zahlenreihenfolge verwendet wird – das System akzeptiert kein Paket mit derselben Sequenznummer.

Diese Option ist standardmäßig aktiviert. Der Anti-Replay überprüft die Sequenznummern und setzt die Prüfung durch, anstatt nur die Sequenznummern zu ignorieren.

Deaktivieren Sie anti-replay, wenn ein Fehler mit dem IPsec-Mechanismus auftritt, der zu ausserordentigen Paketen führt, wodurch die ordnungsgemäße Funktionalität verhindert wird.

Installationsintervall

Wählen Sie die maximale Anzahl von Sekunden aus, die die Installation einer erneuten Outbound Security Association (SA) auf dem Gerät ermöglicht. Wählen Sie einen Wert von 1 bis 10 Sekunden aus.

Ruhezeit

Wählen Sie das Leerlaufintervall aus. Die Sitzungen und die entsprechenden Übersetzungen verkürzen nach einer gewissen Zeit, wenn kein Datenverkehr empfangen wird. Die Reichweite beträgt 60 bis 999999 Sekunden.

DF-Bit

Wählen Sie im äußeren Header aus, wie das Gerät das Bit "Nicht Fragment (DF)" verarbeitet:

• clear– Löschen (deaktivieren) sie das DF-Bit aus dem äußeren Header. Dies ist der Standard.

• copy(copy) – Kopieren Sie das DF-Bit in den äußeren Header.

• set–Setzt (enable) das DF-Bit im äußeren Header.

Copy Outer DSCP

Diese Option ist standardmäßig aktiviert. Dies ermöglicht das Kopieren des Differenzierten Services Code Point (DSCP) (äußeres DSCP+ECN) aus dem äußeren verschlüsselten IP-Header-Paket in die innere IP-Header-Klartextnachricht auf dem Entschlüsselungspfad. Durch Aktivierung dieser Funktion können Klartextpakete nach der IPsec-Entschlüsselung den inneren CoS-Regeln (DSCP+ECN) folgen.