Erstellen eines VPNs für Remotezugriff – Juniper Secure Connect

Sie befinden sich hier: Netzwerk->-VPN > IPsec-VPN.

Juniper Secure Connect ist die clientbasierte SSL-VPN-Lösung von Juniper, die eine sichere Konnektivität für Ihre Netzwerkressourcen bietet.

Juniper Secure Connect bietet sicheren Remote-Zugriff für Benutzer, um über das Internet eine Remoteverbindung zu den Unternehmensnetzwerken und -ressourcen herzustellen. Juniper Secure Connect lädt die Konfiguration von SRX Services-Geräten herunter und wählt während des Verbindungsaufbaus die effektivsten Übertragungsprotokolle aus, um eine hervorragende Administrator- und Benutzererfahrung zu gewährleisten.

So erstellen Sie ein VPN für den Remote-Zugriff für Juniper Secure Connect:

Wählen Sie oben rechts auf der Seite IPsec-VPN die Option Create VPN > Remote Access > Juniper Secure Connect aus.

Die Seite Remote-Zugriff erstellen (Juniper Secure Connect) wird angezeigt.

Anmerkung:
Ab Junos OS Version 23.2R1 ist der ike-user-type group-ike-id group-ike-id, wenn Sie die Juniper Secure Connect-VPNs erstellen oder bearbeiten, wenn das Junos-ike-Paket bereits installiert ist. Dies hilft, Ihnen den Multi-Device-Zugriff zu ermöglichen. Dies wird für Firewalls der SRX300-Reihe und SRX550HM-Firewalls nicht unterstützt.
Schließen Sie die Konfiguration gemäß den Richtlinien in Tabelle 1 bis 6 ab.

Die VPN-Konnektivität wechselt in der Topologie von einer grauen zu einer blauen Linie, um anzuzeigen, dass die Konfiguration abgeschlossen ist.
Klicken Sie auf Speichern , um die Secure Connect VPN-Konfiguration und die zugehörige Richtlinie abzuschließen, wenn Sie die Option Automatische Richtlinienerstellung ausgewählt haben.

Wenn Sie Ihre Änderungen verwerfen möchten, klicken Sie auf Abbrechen.

Tabelle 1: Felder auf der Seite Remotezugriff erstellen (Juniper Secure Connect)
Feld	Aktion
Name	Geben Sie einen Namen für die RAS-Verbindung ein. Dieser Name wird als Bereichsname des Endbenutzers im Juniper Secure Connect Client angezeigt.
Beschreibung	Geben Sie eine Beschreibung ein. Diese Beschreibung wird für die IKE- und IPsec-Vorschläge, Richtlinien, das RAS-Profil, die Clientkonfiguration und den NAT-Regelsatz verwendet. Während der Bearbeitung wird die Beschreibung der IPsec-Richtlinie angezeigt. Die Beschreibungen der IPsec-Richtlinie und der RAS-Profile werden aktualisiert.
Routing-Modus	Diese Option ist für den Fernzugriff deaktiviert. Der Standardmodus ist Traffic Selector (Auto Route Insertion).
Authentifizierungsmethode	Wählen Sie eine Authentifizierungsmethode aus der Liste aus, die das Gerät verwendet, um die Quelle von Internet Key Exchange (IKE)-Nachrichten zu authentifizieren: EAP-MSCHAPv2 (Benutzername und Kennwort): Verwendet die vom RADIUS-Server überprüften Anmeldeinformationen des Benutzerkontos (für die externe Benutzerauthentifizierung), um sich für den Netzwerkzugriff zu authentifizieren. EAP-TLS (Zertifikat): Verwendet den TLS-Authentifizierungsmechanismus für öffentliche Schlüsselzertifikate innerhalb von EAP, um eine gegenseitige Client-Server- und Server-Client-Authentifizierung zu ermöglichen. Bei EAP-TLS muss sowohl dem Client als auch dem Server ein digitales Zertifikat zugewiesen werden, das von einer Zertifizierungsstelle (Certificate Authority, CA) signiert wurde, der beide vertrauen. Anmerkung: Ab Junos OS Version 23.1R1 ist EAP-TLS in Juniper Secure Connect > Remotebenutzer nicht mehr verfügbar. Pre-shared Key (Benutzername und Passwort): Ein geheimer Schlüssel, der von den beiden Peers gemeinsam genutzt wird, wird während der Authentifizierung verwendet, um die Peers untereinander zu identifizieren. Anmerkung: Ab Junos OS Version 23.2R1 ist der ike-user-type group-ike-id beim Erstellen oder Bearbeiten der Juniper Secure Connect-VPNs. Dies hilft, Ihnen den Multi-Device-Zugriff zu ermöglichen. Dies wird für Firewalls der SRX300-Reihe und SRX550HM-Firewalls nicht unterstützt.
Firewall-Richtlinie automatisch erstellen	Wenn Sie Ja auswählen, wird automatisch eine Firewall-Richtlinie zwischen der internen Zone und der Tunnelschnittstellenzone mit lokalen geschützten Netzwerken als Quelladresse und remote geschützten Netzwerken als Zieladresse erstellt. Eine weitere Firewall-Richtlinie wird für das Visum erstellt. Wenn Sie Nein auswählen, steht Ihnen keine Firewall-Richtlinienoption zur Verfügung. Sie müssen die erforderliche Firewall-Richtlinie manuell erstellen, damit dieses VPN funktioniert. Anmerkung: Wenn Sie keine automatische Firewall-Richtlinie im VPN-Workflow erstellen möchten, wird das geschützte Netzwerk für dynamisches Routing sowohl im lokalen als auch im Remote-Gateway ausgeblendet.
Remote-Benutzer	Zeigt das Symbol für den Remotebenutzer in der Topologie an. Klicken Sie auf das Symbol, um die Juniper Secure Connect-Client-Einstellungen zu konfigurieren. Weitere Informationen zu den Feldern finden Sie in Tabelle 2. Anmerkung: Ab Junos OS 23.1R1 zeigt J-Web den Remotebenutzer im FQDN- oder FQDN/Realm-Format an, wenn das Verbindungsprofil konfiguriert ist. Falls nicht konfiguriert, zeigt J-Web die externe Schnittstellen-IP (für das Standardprofil) oder die externe Schnittstellen-IP/VPN-Adresse (für ein Nicht-Standardprofil) an.
Lokales Gateway	Zeigt das Symbol für das lokale Gateway in der Topologie an. Klicken Sie auf das Symbol, um das lokale Gateway zu konfigurieren. Weitere Informationen zu den Feldern finden Sie in Tabelle 3.
IKE- und IPsec-Einstellungen	Konfigurieren Sie den benutzerdefinierten IKE- oder IPsec-Vorschlag und den benutzerdefinierten IPsec-Vorschlag mit empfohlenen Algorithmen oder Werten. Weitere Informationen zu den Feldern finden Sie in Tabelle 6. Anmerkung: J-Web unterstützt nur einen benutzerdefinierten IKE-Vorschlag und nicht den vordefinierten Vorschlagssatz. Beim Bearbeiten und Speichern löscht J-Web den vordefinierten Vorschlagssatz, falls konfiguriert. Auf dem Remote-Gateway des VPN-Tunnels müssen Sie denselben benutzerdefinierten Vorschlag und dieselbe Richtlinie konfigurieren. Bei der Bearbeitung zeigt J-Web den ersten benutzerdefinierten IKE- und IPsec-Vorschlag an, wenn mehr als ein benutzerdefinierter Vorschlag konfiguriert ist.

Tabelle 2: Felder auf der Seite "Remotebenutzer"
Feld	Aktion
Standardprofil	Aktivieren Sie diese Option, um den konfigurierten VPN-Namen als Standardprofil für den Remotezugriff zu verwenden. Anmerkung: Ab Junos OS 23.1R1 ist das Standardprofil in J-Web veraltet. Das Feld zeigt den konfigurierten Wert an, wenn das Standardprofil unter VPN > IPsec-VPN > Globale Einstellungen > RAS-VPN konfiguriert ist.
Verbindungsmodus	Wählen Sie eine der folgenden Optionen aus der Liste aus, um die Juniper Secure Connect-Clientverbindung herzustellen: Manuell: Sie müssen sich bei jeder Anmeldung manuell mit dem VPN-Tunnel verbinden. Immer: Bei jeder Anmeldung werden Sie automatisch mit dem VPN-Tunnel verbunden. Der Standardverbindungsmodus ist Manuell.
SSL-VPN	Aktivieren Sie diese Option, um eine SSL-VPN-Verbindung zwischen dem Juniper Secure Connect-Client und der Firewall der SRX-Serie herzustellen. Standardmäßig ist diese Option aktiviert. Anmerkung: Dies ist eine Fallback-Option, wenn IPsec-Ports nicht erreichbar sind.
Biometrische Authentifizierung	Aktivieren Sie diese Option, um das Client-System mit eindeutig konfigurierten Methoden zu authentifizieren. Eine Authentifizierungsaufforderung wird angezeigt, wenn Sie eine Verbindung im Clientsystem herstellen. Die VPN-Verbindung wird erst nach erfolgreicher Authentifizierung über die für Windows Hello konfigurierte Methode (Fingerabdruckerkennung, Gesichtserkennung, PIN-Eingabe usw.) initiiert. Windows Hello muss auf dem Clientsystem vorkonfiguriert sein, wenn die Option Biometrische Authentifizierung aktiviert ist.
Dead Peer Detection	Aktivieren Sie die Option Dead Peer Detection (DPD), damit der Juniper Secure Connect-Client erkennen kann, ob die Firewall der SRX-Serie erreichbar ist. Deaktivieren Sie diese Option, damit der Juniper Secure Connect-Client erkennen kann, bis die Erreichbarkeit der Firewall der SRX-Serie wiederhergestellt ist. Diese Option ist standardmäßig aktiviert.
DPD-Intervall	Geben Sie die Zeitspanne ein, die der Peer auf Datenverkehr von seinem Zielpeer wartet, bevor er ein DPD-Anforderungspaket (Dead-Peer-Detection) sendet. Der Bereich liegt zwischen 2 und 60 Sekunden und der Standardwert ist 60 Sekunden.
DPD-Schwellenwert	Geben Sie die maximale Anzahl von nicht erfolgreichen DPD-Anfragen (Dead Peer Detection) ein, die gesendet werden sollen, bevor der Peer als nicht verfügbar gilt. Der Bereich liegt zwischen 1 und 5 und der Standardwert ist 5.
Atteste	Aktivieren Sie Zertifikate, um Zertifikatoptionen für Secure Client Connect zu konfigurieren. Anmerkung: Diese Option ist nur verfügbar, wenn Sie die Authentifizierungsmethode EAP-TLS (Zertifikat) auswählen.
Ablaufwarnung	Aktivieren Sie diese Option, um die Warnung zum Ablauf des Zertifikats auf dem Secure Connect Client anzuzeigen. Diese Option ist standardmäßig aktiviert. Anmerkung: Diese Option ist nur verfügbar, wenn Sie Zertifikate aktivieren.
Warnintervall	Geben Sie das Intervall (Tage) ein, in dem die Warnung angezeigt werden soll. Der Bereich liegt zwischen 1 und 90. Der Standardwert ist 60. Anmerkung: Diese Option ist nur verfügbar, wenn Sie Zertifikate aktivieren.
Pinanzahl pro Verbindung	Aktivieren Sie diese Option, um die Zertifikats-PIN bei einer bestimmten Verbindung einzugeben. Diese Option ist standardmäßig aktiviert. Anmerkung: Diese Option ist nur verfügbar, wenn Sie Zertifikate aktivieren.
Benutzername speichern	Ab Junos OS Version 22.1R1 können Sie diese Option aktivieren, um den Remote-Benutzernamen zu speichern.
Passwort speichern	Ab Junos OS Version 22.1R1 können Sie diese Option aktivieren, um sowohl den Remote-Benutzernamen als auch das Kennwort zu speichern.
Windows-Anmeldung	Aktivieren Sie diese Option, damit sich Benutzer sicher bei der Windows-Domäne anmelden können, bevor sie sich am Windows-System anmelden. Der Client unterstützt die Domänenanmeldung mit einem Anmeldeinformationsdienstanbieter, nachdem eine VPN-Verbindung zum Unternehmensnetzwerk hergestellt wurde.
Domänenname	Geben Sie den Namen der Systemdomäne ein, bei der sich der Computer des Benutzers anmeldet.
Modus	Wählen Sie eine der folgenden Optionen aus der Liste aus, um sich bei der Windows-Domäne anzumelden. Manuell: Sie müssen Ihre Anmeldedaten manuell auf dem Windows-Anmeldebildschirm eingeben. Automatisch: Die Clientsoftware überträgt die hier eingegebenen Daten ohne Ihr Zutun an die Microsoft-Anmeldeschnittstelle (Anmeldeinformationsanbieter).
Verbindung beim Abmelden trennen	Aktivieren Sie diese Option, um die Verbindung zu beenden, wenn das System in den Ruhezustand oder den Standby-Modus wechselt. Wenn das System aus dem Ruhezustand oder Standby-Modus zurückkehrt, muss die Verbindung wiederhergestellt werden.
Anmeldeinformationen bei Abmeldung leeren	Aktivieren Sie diese Option, um Benutzername und Kennwort aus dem Cache zu löschen. Sie müssen den Benutzernamen und das Kennwort erneut eingeben.
Dauer der Vorlaufzeit	Geben Sie die Vorlaufzeit ein, um die Zeit zwischen der Netzwerkanmeldung und der Domänenanmeldung zu initialisieren. Nachdem die Verbindung aufgebaut ist, wird die Windows-Anmeldung erst nach Ablauf der hier eingestellten Initialisierungszeit ausgeführt.
EAP-Authentifizierung	Aktivieren Sie diese Option, um die EAP-Authentifizierung vor dem Zieldialogfeld im Anmeldeinformationsanbieter auszuführen. Dann fragt das System nach der erforderlichen PIN, unabhängig davon, ob EAP für die nachfolgende Einwahl erforderlich ist. Wenn diese Option deaktiviert ist, wird die EAP-Authentifizierung nach der Zielauswahl ausgeführt.
Automatisches Öffnen des Dialogfelds	Aktivieren Sie diese Option, um auszuwählen, ob automatisch ein Dialog für den Verbindungsaufbau zu einer Remote-Domäne geöffnet werden soll. Wenn diese Option deaktiviert ist, werden das Passwort und die PIN für den Client erst nach der Windows-Anmeldung abgefragt.
Zugriff über mehrere Geräte	Anmerkung: Ab Junos OS Version 23.2R1 unterstützt J-Web die Option "Multi Device Access" für die Remote-Benutzerseite. Diese Option wird für Firewalls der SRX300-Reihe und SRX550HM-Firewalls nicht unterstützt. Aktivieren Sie diese Option, um eine Verbindung von mehreren Geräten aus herzustellen. Anmerkung: Um den Zugriff auf mehrere Geräte nutzen zu können, muss das junos-ike-Paket auf Ihrer Firewall der SRX-Serie installiert sein. Führen Sie den folgenden Befehl auf Ihrer Firewall der SRX-Serie aus, um das Junos-IKE-Paket zu installieren: request system software add optional: //junos-ike.tgz
Anwendungsumgehung	Aktivieren Sie diese Option, um zu konfigurieren, welche Anwendungen, Domänen oder beides den VPN-Tunnel umgehen können. Sie können die konfigurierten Anwendungsumgehungsprofile in der Rasteransicht auswählen. So fügen Sie einen neuen Anwendungsumgehungsbegriff hinzu: Klicken Sie auf das + -Symbol. Geben Sie die folgenden Details ein: Name: Geben Sie einen Namen für den Begriff ein. Beschreibung: Geben Sie die Beschreibung des Anwendungsumgehungsbegriffs ein. Protokoll (Protocol) – Wählen Sie das verfügbare Protokoll aus der Liste aus. Folgende Optionen stehen zur Verfügung: TCP & UDP: Umgeht sowohl TCP- als auch UDP-Datenverkehr. TCP: Umgeht nur TCP-Datenverkehr. UDP: Umgeht nur UDP-Datenverkehr. Standardmäßig ist TCP & UDP ausgewählt. Domänentyp: Wählen Sie den verfügbaren Domänentyp aus der Liste aus. Folgende Optionen stehen zur Verfügung: Enthält: Ein beliebiger Domänenname (z. B. abc.com). FQDN: Der Domänenname enthält den vollqualifizierten Domänennamen (z. B. www.abc.com). Platzhalter: Der Domänenname enthält eine beliebige Subdomäne (z. B. .abc.com). Wenn Platzhalter ausgewählt ist, wird "." standardmäßig im Feld für den Domänenwert vorausgefüllt. Domänenwert: Geben Sie den Domänennamen ein, der unter Umgehung des VPN-Tunnels erfolgen soll. Klicken Sie auf das Häkchen-Symbol, um die Änderungen zu speichern und den Begriff für die Anwendungsumgehung zu erstellen. Klicken Sie auf X , um den Vorgang zu verwerfen. Klicken Sie auf das Bearbeitungssymbol über dem Raster, um den Begriff für die Anwendungsumgehung zu bearbeiten, und klicken Sie auf das Symbol Löschen, um einen beliebigen Begriff für die Anwendungsumgehung zu löschen. Anmerkung: Wenn Sie beim Bearbeiten des Remotebenutzers die Anwendungsumgehung deaktivieren, werden die unter dem Remotebenutzer konfigurierten Bedingungen für die Anwendungsumgehung gelöscht.
Beachtung	Anmerkung: Ab Junos OS Version 23.2R1 unterstützt J-Web die Compliance-Option für die Remote-Benutzerseite. Diese Option wird für Firewalls der SRX300-Reihe und SRX550HM-Firewalls nicht unterstützt. Wählen Sie aus der Liste die Konformitätsregel aus, die von der Firewall der SRX-Serie überprüft wird, um einen VPN-Tunnel einzurichten, bevor sich ein Benutzer anmeldet. Um eine neue Konformitätsregel zu erstellen, klicken Sie auf Erstellen. Die Seite "Konformität vor der Anmeldung erstellen" wird angezeigt. Informationen zu den Feldern finden Sie unter Erstellen der Konformität vor der Anmeldung.

Tabelle 3: Felder auf der Seite "Lokales Gateway"
Feld	Aktion
Das Gateway befindet sich hinter NAT	Aktivieren Sie diese Option, wenn sich das lokale Gateway hinter einem NAT-Gerät befindet.
NAT-IP-Adresse	Geben Sie die öffentliche IP-Adresse (NAT) der Firewall der SRX-Serie ein. Anmerkung: Diese Option ist nur verfügbar, wenn Gateway hinter NAT aktiviert ist. Sie können eine IPv4-Adresse so konfigurieren, dass sie auf das NAT-Gerät verweist.
Externe Schnittstelle	Wählen Sie eine ausgehende Schnittstelle aus der Liste aus, mit der der Client eine Verbindung herstellen möchte. Die Liste enthält alle verfügbaren IP-Adressen, wenn mehr als eine IPv4-Adresse für die angegebene Schnittstelle konfiguriert ist. Die ausgewählte IP-Adresse wird als lokale Adresse unter dem IKE-Gateway konfiguriert.
Verbindungsprofil	Dies ist ein Pflichtfeld. Geben Sie das Verbindungsprofil im Format FQDN oder FQDN/Realm ein. Das Verbindungsprofil kann eine beliebige Zeichenfolge sein und Punkte und Schrägstriche enthalten. maximal 255 Zeichen. Die IKE-ID wird automatisch aus dem Verbindungsprofil abgeleitet. Anmerkung: Ab Junos OS 23.1R1 wird die IKE-ID automatisch mithilfe des Verbindungsprofils abgeleitet. Wenn der System-Hostname konfiguriert ist, wird die IKE-ID als <configured-hostname>@connection-profile konfiguriert, andernfalls no-config-hostname@connection-profile. Wenn das Verbindungsprofil den Bereich (/hr) hat, wird beim Bilden der IKE-ID '/' durch '.' ersetzt. Für vorhandene VPNs, bei denen der Name des RAS-Profils keinen Punkt (.) enthält, wird das Verbindungsprofil als external-IP für das Standardprofil oder external-IP/VPN-Name für ein Nicht-Standardprofil angezeigt. Sobald Sie das vorhandene VPN aktualisiert haben, wird der Standardprofilname mit dem Wert des Verbindungsprofils aktualisiert. Wenn Sie den Wert des Verbindungsprofils ändern, wird die IKE-ID automatisch aktualisiert.
Tunnelschnittstelle	Wählen Sie eine Schnittstelle aus der Liste aus, mit der der Client eine Verbindung herstellen möchte. Klicken Sie auf Hinzufügen , um eine neue Schnittstelle hinzuzufügen. Die Seite "Create Tunnel Interface" (Tunnelschnittstelle erstellen) wird angezeigt. Weitere Informationen zum Erstellen einer neuen Tunnelschnittstelle finden Sie in Tabelle 4. Klicken Sie auf Bearbeiten, um die ausgewählte Tunnelschnittstelle zu bearbeiten.
Pre-shared Key	Geben Sie einen der folgenden Werte des vorinstallierten Schlüssels ein: ascii-text: ASCII-Textschlüssel. hexadezimal: Hexadezimaler Schlüssel. Anmerkung: Diese Option ist verfügbar, wenn die Authentifizierungsmethode Pre-shared Key ist.
Lokales Zertifikat	Wählen Sie ein lokales Zertifikat aus der Liste aus. Lokales Zertifikat listet nur die RSA-Zertifikate auf. Anmerkung: Diese Option ist nur verfügbar, wenn Sie die Authentifizierungsmethode EAP-TLS (Zertifikat) auswählen. Ab Junos OS 23.1R1 werden alle Gerätezertifikate in lokalen Zertifikaten aufgeführt. Zum Beispiel Let's Encrypt und ACME-Zertifikate. Weitere Informationen zu Gerätezertifikaten finden Sie unter Erstellen eines Gerätezertifikats
Benutzerauthentifizierung	Dieses Feld ist ein Pflichtfeld. Wählen Sie das Authentifizierungsprofil aus der Liste aus, das zur Authentifizierung des Benutzers verwendet wird, der auf das RAS-VPN zugreift. Klicken Sie auf Hinzufügen , um ein neues Profil zu erstellen. Weitere Informationen zum Erstellen eines neuen Zugriffsprofils finden Sie unter Hinzufügen eines Zugriffsprofils.
SSL-VPN-Profil	Wählen Sie in der Liste das SSL-VPN-Profil aus, das zum Beenden der RAS-Verbindungen verwendet werden soll. So erstellen Sie ein neues SSL-VPN-Profil: Klicken Sie auf Hinzufügen. Geben Sie die folgenden Details ein: Name: Geben Sie den Namen für ein SSL-VPN-Profil ein. Protokollierung: Aktivieren Sie diese Option, um für SSL VPN zu protokollieren. SSL-Beendigungsprofil: Wählen Sie ein SSL-Beendigungsprofil aus der Liste aus. So fügen Sie ein neues SSL-Beendigungsprofil hinzu: Klicken Sie auf Hinzufügen. Die Seite "SSL-Beendigungsprofil erstellen" wird angezeigt. Geben Sie die folgenden Details ein: Name: Geben Sie einen Namen für das SSL-Beendigungsprofil ein. Serverzertifikat: Wählen Sie ein Serverzertifikat aus der Liste aus. Um ein Zertifikat hinzuzufügen, klicken Sie auf Hinzufügen. Weitere Informationen zum Hinzufügen eines Gerätezertifikats finden Sie unter Informationen zur Seite "Zertifikate". Klicken Sie auf OK. Klicken Sie auf OK. Klicken Sie auf OK.
Quell-NAT-Datenverkehr	Diese Option ist standardmäßig aktiviert. Der gesamte Datenverkehr vom Juniper Secure Connect-Client wird standardmäßig mit NATs an die ausgewählte Schnittstelle weitergeleitet. Wenn diese Option deaktiviert ist, müssen Sie sicherstellen, dass Sie eine Route von Ihrem Netzwerk haben, die auf die Firewalls der SRX-Serie verweist, um den Rückdatenverkehr korrekt zu verarbeiten.
Schnittstelle	Wählen Sie eine Schnittstelle aus der Liste aus, über die der Quell-NAT-Datenverkehr geleitet wird.
Geschützte Netzwerke	Klicken Sie auf +. Die Seite "Geschützte Netzwerke erstellen" wird angezeigt.
Geschützte Netzwerke erstellen
Zone	Wählen Sie in der Liste eine Sicherheitszone aus, die in der Firewall-Richtlinie als Quellzone verwendet werden soll.
Globale Adresse	Wählen Sie die Adressen aus der Spalte Verfügbar aus, und klicken Sie dann auf den Pfeil nach rechts, um sie in die Spalte Ausgewählt zu verschieben. Klicken Sie auf Hinzufügen , um die Netzwerke auszuwählen, mit denen der Client eine Verbindung herstellen kann. Die Seite "Globale Adresse erstellen" wird angezeigt. Weitere Informationen zu den Feldern finden Sie in Tabelle 5.
Redigieren	Wählen Sie das geschützte Netzwerk aus, das Sie bearbeiten möchten, und klicken Sie auf das Stiftsymbol. Die Seite "Geschützte Netzwerke bearbeiten" wird mit bearbeitbaren Feldern angezeigt.
Löschen	Wählen Sie das geschützte Netzwerk aus, das Sie bearbeiten möchten, und klicken Sie auf das Symbol "Löschen". Die Bestätigungsmeldung wird angezeigt. Klicken Sie auf Ja , um das geschützte Netzwerk zu löschen.

Tabelle 4: Felder auf der Seite "Tunnelschnittstelle erstellen"
Feld	Aktion
Schnittstelleneinheit	Geben Sie die Nummer der logischen Einheit ein.
Beschreibung	Geben Sie eine Beschreibung für die logische Schnittstelle ein.
Zone	Wählen Sie eine Zone aus der Liste aus, um sie der Tunnelschnittstelle hinzuzufügen. Diese Zone wird bei der automatischen Erstellung der Firewall-Richtlinie verwendet. Klicken Sie auf Hinzufügen , um eine neue Zone hinzuzufügen. Geben Sie den Zonennamen und die Beschreibung ein, und klicken Sie auf der Seite Sicherheitszone erstellen auf OK .
Routing-Instanz	Wählen Sie eine Routing-Instanz aus der Liste aus. Anmerkung: Die Standard-Routing-Instanz, primary, bezieht sich auf die Haupt-Routing-Tabelle inet.0 im logischen System.

Tabelle 5: Felder auf der Seite "Globale Adresse erstellen"
Feld	Aktion
Name	Geben Sie einen Namen für die globale Adresse ein. Der Name muss eine eindeutige Zeichenfolge sein, die mit einem alphanumerischen Zeichen beginnen muss und Doppelpunkte, Punkte, Bindestriche und Unterstriche enthalten kann. keine Leerzeichen erlaubt; maximal 63 Zeichen.
IP-Typ	Wählen Sie IPv4 aus.
IPv4
IPv4-Adresse	Geben Sie eine gültige IPv4-Adresse ein.
Subnetz	Geben Sie das Subnetz für die IPv4-Adresse ein.

Tabelle 6: IKE- und IPsec-Einstellungen
Feld	Aktion
IKE-Einstellungen Anmerkung: Die folgenden Parameter werden automatisch generiert und nicht in der J-Web-Benutzeroberfläche angezeigt: Wenn die Authentifizierungsmethode Pre-Shared Key ist, ist die IKE-Version v1, ike-user-type ist shared-ike-id und der Modus ist Aggressiv. Wenn die Authentifizierungsmethode zertifikatbasiert ist, ist die IKE-Version v2, ike-user-type ist shared-ike-id und mode ist Main. Ab Junos OS Version 23.2R1 lautet der ike-user-type group-ike-id. Dies hilft, Ihnen den Multi-Device-Zugriff zu ermöglichen. Sie können das vorhandene VPN bearbeiten und speichern, um es in group-ike-id umzuwandeln. Dies wird für Firewalls der SRX300-Reihe und SRX550HM-Firewalls nicht unterstützt.
Verschlüsselungsalgorithmus	Wählen Sie den entsprechenden Verschlüsselungsmechanismus aus der Liste aus. Der Standardwert ist AES-CBC 256-Bit.
Authentifizierungsalgorithmus	Wählen Sie den Authentifizierungsalgorithmus aus der Liste aus. Beispiel: SHA 256-Bit.
DH-Gruppe	Ein Diffie-Hellman-Austausch (DH) ermöglicht es Teilnehmern, einen gemeinsamen geheimen Wert zu generieren. Wählen Sie die entsprechende DH-Gruppe aus der Liste aus. Der Standardwert ist group19.
Lebenslange Sekunden	Wählen Sie eine Lebensdauer (in Sekunden) einer IKE-Sicherheitszuordnung (SA) aus. Der Standardwert ist 28.800 Sekunden. Bereich: 180 bis 86.400 Sekunden.
Dead Peer Detection	Aktivieren Sie diese Option, um Anfragen zur Erkennung toter Peers zu senden, unabhängig davon, ob ausgehender IPsec-Datenverkehr an den Peer geht.
DPD-Modus	Wählen Sie eine der Optionen aus der Liste aus: Optimiert: Sendet Sondierungen nur, wenn ausgehender Datenverkehr und kein eingehender Datenverkehr vorhanden ist – RFC3706 (Standardmodus). probe-idle-tunnel: Sendet Sondierungen wie im optimierten Modus und auch dann, wenn kein ausgehender und eingehender Datenverkehr vorhanden ist. Immer senden: Sendet in regelmäßigen Abständen Sondierungen, unabhängig vom ein- und ausgehenden Datenverkehr.
DPD-Intervall	Wählen Sie ein Intervall (in Sekunden) aus, in dem Benachrichtigungen zur Erkennung toter Peers gesendet werden sollen. Das Standardintervall beträgt 10 Sekunden. Die Reichweite beträgt 2 bis 60 Sekunden.
DPD-Schwellenwert	Wählen Sie eine Zahl zwischen 1 und 5 aus, um den DPD-Fehlerschwellenwert festzulegen. Dies gibt an, wie oft die DPD Nachrichten maximal gesendet werden müssen, wenn keine Antwort vom Peer erfolgt. Die Standardanzahl der Übertragungen beträgt 5 Mal.
Erweiterte Konfiguration (optional)
NAT-T	Aktivieren Sie diese Option, damit IPsec-Datenverkehr ein NAT-Gerät passieren kann. NAT-T ist ein IKE-Phase-1-Algorithmus, der beim Versuch verwendet wird, eine VPN-Verbindung zwischen zwei Gateway-Geräten herzustellen, wobei sich ein NAT-Gerät vor einer der Firewalls der SRX-Serie befindet.
NAT am Leben erhalten	Wählen Sie ein geeignetes Keepalive-Intervall in Sekunden aus. Bereich: 1 bis 300. Wenn zu erwarten, dass das VPN längere Zeiträume der Inaktivität aufweist, können Sie Keepalive-Werte konfigurieren, um künstlichen Datenverkehr zu generieren, der die Sitzung auf den NAT-Geräten aktiv hält.
IKE-Verbindungslimit	Geben Sie die Anzahl der gleichzeitigen Verbindungen ein, die das VPN-Profil unterstützt. Der Bereich reicht von 1 bis 4294967295. Wenn die maximale Anzahl von Verbindungen erreicht ist, können keine VPN-Endgeräte (Remote Access User), die versuchen, auf ein IPsec-VPN zuzugreifen, mit IKE-Verhandlungen (Internet Key Exchange) beginnen.
IKEv2-Fragmentierung	Diese Option ist standardmäßig aktiviert. Bei der IKEv2-Fragmentierung wird eine große IKEv2-Nachricht in eine Reihe kleinerer Nachrichten aufgeteilt, sodass es keine Fragmentierung auf IP-Ebene gibt. Die Fragmentierung findet statt, bevor die ursprüngliche Nachricht verschlüsselt und authentifiziert wird, sodass jedes Fragment separat verschlüsselt und authentifiziert wird. Anmerkung: Diese Option ist verfügbar, wenn die Authentifizierungsmethode zertifikatbasiert ist.
IKEv2-Fragmentgröße	Wählen Sie die maximale Größe einer IKEv2-Nachricht in Byte aus, bevor sie in Fragmente aufgeteilt wird. Die Größe gilt für IPv4-Nachrichten. Bereich: 570 bis 1320 Byte. Der Standardwert ist 576 Byte. Anmerkung: Diese Option ist verfügbar, wenn die Authentifizierungsmethode zertifikatbasiert ist.
IPsec-Einstellungen Anmerkung: Die Authentifizierungsmethode ist Pre-Shared Key oder zertifikatsbasiert, es generiert automatisch ein Protokoll als ESP.
Verschlüsselungsalgorithmus	Wählen Sie die Verschlüsselungsmethode aus. Der Standardwert ist AES-GCM 256-Bit.
Authentifizierungsalgorithmus	Wählen Sie den IPsec-Authentifizierungsalgorithmus aus der Liste aus. Beispiel: HMAC-SHA-256-128. Anmerkung: Diese Option ist verfügbar, wenn der Verschlüsselungsalgorithmus nicht gcm ist.
Absolute Geheimhaltung bei Weiterleitung	Wählen Sie Perfect Forward Secrecy (PFS) aus der Liste aus. Das Gerät verwendet diese Methode, um den Verschlüsselungsschlüssel zu generieren. Der Standardwert ist group19. PFS generiert jeden neuen Verschlüsselungsschlüssel unabhängig vom vorherigen Schlüssel. Die höher nummerierten Gruppen bieten mehr Sicherheit, benötigen aber mehr Verarbeitungszeit. Anmerkung: Group15, Group16 und Group21 unterstützen nur Geräte der SRX5000-Reihe, auf denen eine SPC3-Karte und ein Junos-IKE-Paket installiert sind.
Lebenslange Sekunden	Wählen Sie die Lebensdauer (in Sekunden) einer IPsec-Sicherheitszuordnung (SA) aus. Wenn die Sicherheitszuordnung abläuft, wird sie durch eine neue Sicherheitszuordnung und einen neuen Sicherheitsparameterindex (SPI) ersetzt oder beendet. Der Standardwert ist 3.600 Sekunden. Bereich: 180 bis 86.400 Sekunden.
Lebenslange Kilobyte	Wählen Sie die Lebensdauer (in Kilobyte) einer IPsec-Sicherheitszuordnung aus. Der Standardwert ist 256kb. Bereich: 64 bis 4294967294.
Erweiterte Konfiguration
Anti-Wiederholung	IPsec schützt vor VPN-Angriffen durch die Verwendung einer in das IPsec-Paket integrierten Zahlenfolge – das System akzeptiert kein Paket mit derselben Sequenznummer. Diese Option ist standardmäßig aktiviert. Das Anti-Replay prüft die Sequenznummern und erzwingt die Prüfung, anstatt die Sequenznummern einfach zu ignorieren. Deaktivieren Sie Anti-Replay, wenn ein Fehler mit dem IPsec-Mechanismus auftritt, der zu Paketen außerhalb der Reihenfolge führt, die die ordnungsgemäße Funktion verhindern.
Installationsintervall	Wählen Sie die maximale Anzahl von Sekunden aus, um die Installation einer neu verschlüsselten ausgehenden Sicherheitszuordnung (SA) auf dem Gerät zu ermöglichen. Wählen Sie einen Wert zwischen 1 und 10 Sekunden aus.
Stillstandszeit	Wählen Sie das Leerlaufzeitintervall aus. Die Sitzungen und die entsprechenden Übersetzungen laufen nach einer bestimmten Zeitspanne ab, wenn kein Datenverkehr empfangen wird. Die Reichweite beträgt 60 bis 999999 Sekunden.
DF-Bit	Wählen Sie aus, wie das Gerät mit dem DF-Bit (Don't Fragment) im äußeren Header umgeht: clear – Löscht (deaktiviert) das DF-Bit aus dem äußeren Header. Dies ist die Standardeinstellung. copy (Kopieren) – Kopiert das DF-Bit in den äußeren Header. set – Setzt (aktiviert) das DF-Bit im äußeren Header.
Äußeres DSCP kopieren	Diese Option ist standardmäßig aktiviert. Dadurch wird das Kopieren des Differentiated Services Code Point (DSCP) (äußerer DSCP+ECN) aus dem äußeren IP-Header-verschlüsselten Paket in die innere IP-Header-Klartextnachricht im Entschlüsselungspfad ermöglicht. Wenn diese Funktion aktiviert ist, können Klartextpakete nach der IPsec-Entschlüsselung den inneren CoS-Regeln (DSCP+ECN) folgen.

Erstellen eines VPNs für Remotezugriff – Juniper Secure Connect

Zugehörige Dokumentation