Erstellen Sie ein Remote Access-VPN – Juniper Secure Connect

Sie befinden sich hier: Netzwerk > VPN > IPsec VPN.

Juniper Secure Connect ist die clientbasierte SSL-VPN-Lösung von Juniper, die eine sichere Konnektivität für Ihre Netzwerkressourcen bietet.

Juniper Secure Connect bietet den Benutzern einen sicheren Remote-Zugriff, um sich über das Internet aus der Ferne mit den Unternehmensnetzwerken und -ressourcen zu verbinden. Juniper Secure Connect lädt die Konfiguration von SRX Services-Geräten herunter und wählt während des Verbindungsaufbaus die effektivsten Transportprotokolle aus, um eine hervorragende Administrator- und Benutzererfahrung zu gewährleisten.

So erstellen Sie ein Remote-Zugriffs-VPN für Juniper Secure Connect:

Wählen Sie oben rechts auf der Seite IPsec-VPN die Option Create VPN > Remote Access > Juniper Secure Connect (VPN- Juniper Secure Connect erstellen) aus.

Die Seite "Remotezugriff erstellen (Juniper Secure Connect)" wird angezeigt.

Anmerkung:
Ab Junos OS Version 23.2R1 lautet beim Erstellen oder Bearbeiten der Juniper Secure Connect-VPNs der ike-user-type group-ike-id, wenn das Junos-ike-Paket bereits installiert ist. Dies hilft Ihnen, den Zugriff auf mehrere Geräte zu ermöglichen. Dies wird für Firewalls der SRX300-Reihe und SRX550HM Firewalls nicht unterstützt.
Schließen Sie die Konfiguration gemäß den Richtlinien in den Tabellen 1 bis 6 ab.

Die VPN-Konnektivität wechselt in der Topologie von grauer zu blauer Linie, um anzuzeigen, dass die Konfiguration abgeschlossen ist.
Klicken Sie auf Speichern , um die Secure Connect VPN-Konfiguration und die zugehörige Richtlinie abzuschließen, wenn Sie die Option zur automatischen Richtlinienerstellung ausgewählt haben.

Wenn Sie Ihre Änderungen verwerfen möchten, klicken Sie auf Abbrechen.

Tabelle 1: Felder auf der Seite Remotezugriff erstellen (Juniper Secure Connect)
Feld	Aktion
Name	Geben Sie einen Namen für die RAS-Verbindung ein. Dieser Name wird als Bereichsname des Endbenutzers im Juniper Secure Connect Client angezeigt.
Beschreibung	Geben Sie eine Beschreibung ein. Diese Beschreibung wird für die IKE- und IPsec-Vorschläge, Richtlinien, das RAS-Profil, die Clientkonfiguration und den NAT-Regelsatz verwendet. Während der Bearbeitung wird die Beschreibung der IPsec-Richtlinie angezeigt. Die IPsec-Richtlinie und die Beschreibungen der RAS-Profile werden aktualisiert.
Routing-Modus	Diese Option ist für den Fernzugriff deaktiviert. Der Standardmodus ist "Traffic Selector" (Automatisches Einfügen von Routen).
Authentifizierungsmethode	Wählen Sie eine Authentifizierungsmethode aus der Liste aus, die das Gerät zur Authentifizierung der Quelle von IKE-Nachrichten (Internet Key Exchange) verwendet: EAP-MSCHAPv2 (Benutzername und Kennwort): Verwendet die vom RADIUS-Server verifizierten Anmeldeinformationen des Benutzerkontos (für die Authentifizierung durch externe Benutzer), um sich für den Netzwerkzugriff zu authentifizieren. EAP-TLS (Zertifikat): Verwendet den TLS-Zertifikatauthentifizierungsmechanismus mit öffentlichem Schlüssel in EAP, um eine gegenseitige Client-Server- und Server-Client-Authentifizierung bereitzustellen. Bei EAP-TLS muss sowohl dem Client als auch dem Server ein digitales Zertifikat zugewiesen werden, das von einer Zertifizierungsstelle (Certificate Authority, CA) signiert wurde, der beide vertrauen. Anmerkung: Ab Junos OS Version 23.1R1 ist EAP-TLS in Juniper Secure Connect > Remote User nicht mehr verfügbar. Pre-Shared Key (Username & Password): Ein geheimer Schlüssel, der von den beiden Peers gemeinsam genutzt wird, wird während der Authentifizierung verwendet, um die Peers untereinander zu identifizieren. Anmerkung: Ab Junos OS Version 23.2R1 lautet beim Erstellen oder Bearbeiten der Juniper Secure Connect-VPNs der ike-user-type group-ike-id. Dies hilft Ihnen, den Zugriff auf mehrere Geräte zu ermöglichen. Dies wird für Firewalls der SRX300-Reihe und SRX550HM Firewalls nicht unterstützt.
Firewall-Richtlinie automatisch erstellen	Wenn Sie Ja auswählen, wird automatisch eine Firewallrichtlinie zwischen der internen Zone und der Tunnelschnittstellenzone mit lokal geschützten Netzwerken als Quelladresse und remote geschützten Netzwerken als Zieladresse erstellt. Umgekehrt wird eine weitere Firewall-Richtlinie erstellt. Wenn Sie Nein auswählen, steht Ihnen keine Firewallrichtlinienoption zur Verfügung. Sie müssen die erforderliche Firewall-Richtlinie manuell erstellen, damit dieses VPN funktioniert. Anmerkung: Wenn Sie im VPN-Workflow nicht automatisch eine Firewall-Richtlinie erstellen möchten, wird das geschützte Netzwerk für dynamisches Routing sowohl im lokalen als auch im Remote-Gateway ausgeblendet.
Remote-Benutzer	Zeigt das Remotebenutzersymbol in der Topologie an. Klicken Sie auf das Symbol, um die Einstellungen für den Juniper Secure Connect-Client zu konfigurieren. Weitere Informationen zu den Feldern finden Sie in Tabelle 2. Anmerkung: Ab Junos OS 23.1R1 zeigt J-Web den Remote-Benutzer im FQDN- oder FQDN/Realm-Format an, wenn das Verbindungsprofil konfiguriert ist. Falls nicht konfiguriert, zeigt J-Web die IP der externen Schnittstelle (für das Standardprofil) oder die IP/VPN-Name der externen Schnittstelle (für ein nicht standardmäßiges Profil) an.
Lokales Gateway	Zeigt das Symbol für das lokale Gateway in der Topologie an. Klicken Sie auf das Symbol, um das lokale Gateway zu konfigurieren. Weitere Informationen zu den Feldern finden Sie in Tabelle 3.
IKE- und IPsec-Einstellungen	Konfigurieren Sie den benutzerdefinierten IKE- oder IPsec-Vorschlag und den benutzerdefinierten IPsec-Vorschlag mit empfohlenen Algorithmen oder Werten. Weitere Informationen zu den Feldern finden Sie in Tabelle 6. Anmerkung: J-Web unterstützt nur einen benutzerdefinierten IKE-Vorschlag und nicht den vordefinierten Vorschlagssatz. Beim Bearbeiten und Speichern löscht J-Web den vordefinierten Vorschlagssatz, falls konfiguriert. Auf dem Remote-Gateway des VPN-Tunnels müssen Sie denselben benutzerdefinierten Vorschlag und dieselbe Richtlinie konfigurieren. Nach der Bearbeitung zeigt J-Web den ersten benutzerdefinierten IKE- und IPsec-Vorschlag an, wenn mehr als ein benutzerdefinierter Vorschlag konfiguriert ist.

Tabelle 2: Felder auf der Remotebenutzerseite
Feld	Aktion
Standardprofil	Aktivieren Sie diese Option, um den konfigurierten VPN-Namen als Standardprofil für den Remotezugriff zu verwenden. Anmerkung: Ab Junos OS 23.1R1 ist das Standardprofil in J-Web veraltet. In dem Feld wird der konfigurierte Wert angezeigt, wenn das Standardprofil unter VPN > IPsec-VPN > Globale Einstellungen > RAS-VPN konfiguriert ist.
Verbindungsmodus	Wählen Sie eine der folgenden Optionen aus der Liste aus, um die Juniper Secure Connect-Clientverbindung herzustellen: Manuell: Sie müssen sich bei jeder Anmeldung manuell mit dem VPN-Tunnel verbinden. Immer: Sie werden bei jeder Anmeldung automatisch mit dem VPN-Tunnel verbunden. Der Standardverbindungsmodus ist Manuell.
SSL-VPN	Aktivieren Sie diese Option, um eine SSL-VPN-Verbindung vom Juniper Secure Connect Client zur Firewall der SRX-Serie herzustellen. Standardmäßig ist diese Option aktiviert. Anmerkung: Dies ist eine Fallback-Option, wenn IPsec-Ports nicht erreichbar sind.
Biometrische Authentifizierung	Aktivieren Sie diese Option, um das Clientsystem mit eindeutig konfigurierten Methoden zu authentifizieren. Wenn Sie eine Verbindung zum Clientsystem herstellen, wird eine Authentifizierungsaufforderung angezeigt. Die VPN-Verbindung wird erst nach erfolgreicher Authentifizierung über die für Windows Hello konfigurierte Methode (Fingerabdruckerkennung, Gesichtserkennung, PIN-Eingabe usw.) initiiert. Windows Hello muss auf dem Clientsystem vorkonfiguriert sein, wenn die Option Biometrische Authentifizierung aktiviert ist.
Erkennung toter Peers	Aktivieren Sie die Option Dead Peer Detection (DPD), damit der Juniper Secure Connect-Client erkennen kann, ob die Firewall der SRX-Serie erreichbar ist. Deaktivieren Sie diese Option, damit der Juniper Secure Connect-Client die Verbindung erkennen kann, bis die Erreichbarkeit der Firewall der SRX-Serie wiederhergestellt ist. Diese Option ist standardmäßig aktiviert.
DPD-Intervall	Geben Sie die Zeitspanne ein, die der Peer auf Datenverkehr von seinem Zielpeer wartet, bevor er ein DPD-Anforderungspaket (Dead-Peer Detection) sendet. Der Bereich liegt zwischen 2 und 60 Sekunden und der Standardwert ist 60 Sekunden.
DPD-Schwelle	Geben Sie die maximale Anzahl erfolgloser DPD-Anfragen (Dead Peer Detection) ein, die gesendet werden sollen, bevor der Peer als nicht verfügbar eingestuft wird. Der Bereich liegt zwischen 1 und 5 und der Standardwert ist 5.
Atteste	Aktivieren Sie Zertifikate, um Zertifikatoptionen für Secure Client Connect zu konfigurieren. Anmerkung: Diese Option ist nur verfügbar, wenn Sie die Authentifizierungsmethode EAP-TLS (Zertifikat) auswählen.
Warnung vor Ablauf	Aktivieren Sie diese Option, um die Warnung zum Ablauf des Zertifikats auf dem Secure Connect Client anzuzeigen. Diese Option ist standardmäßig aktiviert. Anmerkung: Diese Option ist nur verfügbar, wenn Sie Zertifikate aktivieren.
Warnintervall	Geben Sie das Intervall (Tage) ein, in dem die Warnung angezeigt werden soll. Der Bereich liegt zwischen 1 und 90. Der Standardwert ist 60. Anmerkung: Diese Option ist nur verfügbar, wenn Sie Zertifikate aktivieren.
Pin-Anforderung pro Verbindung	Aktivieren Sie diese Option, um die Zertifikats-PIN bei jeder Verbindung einzugeben. Diese Option ist standardmäßig aktiviert. Anmerkung: Diese Option ist nur verfügbar, wenn Sie Zertifikate aktivieren.
Benutzername speichern	Ab Junos OS Version 22.1R1 können Sie diese Option aktivieren, um den Remote-Benutzernamen zu speichern.
Passwort speichern	Ab Junos OS Version 22.1R1 können Sie diese Option aktivieren, um sowohl den Remote-Benutzernamen als auch das Kennwort zu speichern.
Windows-Anmeldung	Aktivieren Sie diese Option, damit sich Benutzer sicher bei der Windows-Domäne anmelden können, bevor sie sich beim Windows-System anmelden. Der Client unterstützt die Domänenanmeldung mithilfe eines Dienstanbieters für Anmeldeinformationen, nachdem eine VPN-Verbindung zum Unternehmensnetzwerk hergestellt wurde.
Domänenname	Geben Sie den Domänennamen des Systems ein, auf dem der Benutzercomputer protokolliert wird.
Modus	Wählen Sie eine der folgenden Optionen aus der Liste aus, um sich bei der Windows-Domäne anzumelden. Manuell: Sie müssen Ihre Anmeldedaten manuell auf dem Windows-Anmeldebildschirm eingeben. Automatisch: Die Clientsoftware überträgt die hier eingegebenen Daten ohne Ihr Zutun an die Microsoft-Anmeldeschnittstelle (Anmeldeinformationsanbieter).
Trennen Sie die Verbindung bei der Abmeldung	Aktivieren Sie diese Option, um die Verbindung zu beenden, wenn das System in den Ruhezustand oder Standby-Modus wechselt. Wenn das System aus dem Ruhezustand oder Standby-Modus zurückkehrt, muss die Verbindung wiederhergestellt werden.
Anmeldeinformationen bei der Abmeldung leeren	Aktivieren Sie diese Option, um Benutzername und Passwort aus dem Cache zu löschen. Sie müssen den Benutzernamen und das Passwort erneut eingeben.
Dauer der Vorlaufzeit	Geben Sie die Vorlaufzeit ein, um die Zeit zwischen der Netzwerkanmeldung und der Domänenanmeldung zu initialisieren. Nach dem Verbindungsaufbau wird die Windows-Anmeldung erst nach Ablauf der hier eingestellten Initialisierungszeit ausgeführt.
EAP-Authentifizierung	Aktivieren Sie diese Option, um die EAP-Authentifizierung vor dem Zieldialogfeld im Anmeldeinformationsanbieter auszuführen. Dann fragt das System nach der erforderlichen PIN, unabhängig davon, ob EAP für die spätere Einwahl benötigt wird. Wenn diese Option deaktiviert ist, wird die EAP-Authentifizierung nach der Zielauswahl ausgeführt.
Automatisches Öffnen des Dialogs	Aktivieren Sie diese Option, um auszuwählen, ob automatisch ein Dialog für den Verbindungsaufbau zu einer Remote-Domäne geöffnet werden soll. Wenn diese Option deaktiviert ist, werden Kennwort und PIN für den Client erst nach der Windows-Anmeldung abgefragt.
Zugriff auf mehrere Geräte	Anmerkung: Ab Junos OS Version 23.2R1 unterstützt J-Web die Option "Zugriff auf mehrere Geräte" für die Remotebenutzerseite. Diese Option wird für Firewalls der SRX300-Reihe und SRX550HM Firewalls nicht unterstützt. Aktivieren Sie diese Option, um Sie von mehreren Geräten aus zu verbinden. Anmerkung: Um den Zugriff auf mehrere Geräte verwenden zu können, muss das Paket junos-ike auf Ihrer Firewall der SRX-Serie installiert sein. Führen Sie den folgenden Befehl auf Ihrer Firewall der SRX-Serie aus, um das Paket junos-ike zu installieren: request system software add optional: //junos-ike.tgz
Umgehung der Anwendung	Aktivieren Sie diese Option, um zu konfigurieren, welche Anwendungen, Domänen oder beides den VPN-Tunnel umgehen können. Sie können die konfigurierten Anwendungsumgehungsprofile in der Rasteransicht auswählen. So fügen Sie einen neuen Anwendungsumgehungsbegriff hinzu: Klicken Sie auf das + -Symbol. Geben Sie die folgenden Details ein: Name: Geben Sie einen Namen für den Begriff ein. Beschreibung: Geben Sie die Beschreibung des Begriffs für die Anwendungsumgehung ein. Protokoll: Wählen Sie das verfügbare Protokoll aus der Liste aus. Folgende Optionen stehen zur Verfügung: TCP & UDP: Umgeht sowohl TCP- als auch UDP-Datenverkehr. TCP – Umgeht nur TCP-Datenverkehr. UDP: Umgeht nur UDP-Datenverkehr. Standardmäßig ist TCP & UDP ausgewählt. Domänentyp: Wählen Sie den verfügbaren Domänentyp aus der Liste aus. Folgende Optionen stehen zur Verfügung: Enthält: Ein beliebiger Domänenname (z. B. abc.com). FQDN: Der Domänenname enthält den vollqualifizierten Domänennamen (z. B. www.abc.com). Platzhalter: Der Domänenname enthält eine beliebige Subdomäne (z. B. .abc.com). Wenn ein Platzhalter ausgewählt ist, wird standardmäßig "." im Feld für den Domänenwert vorausgefüllt. Domänenwert: Geben Sie den Domänennamen ein, um den VPN-Tunnel zu umgehen. Klicken Sie auf das Häkchensymbol, um die Änderungen zu speichern und die Umgehungsfrist für die Anwendung zu erstellen. Klicken Sie zum Verwerfen auf X . Klicken Sie auf das Bearbeitungssymbol über dem Raster, um den Anwendungsumgehungsbegriff zu bearbeiten, und klicken Sie auf das Symbol Löschen, um einen beliebigen Anwendungsumgehungsbegriff zu löschen. Anmerkung: Wenn Sie beim Bearbeiten des Remote-Benutzers die Option "Anwendungsumgehung" deaktivieren, werden die konfigurierten Bedingungen für die Anwendungsumgehung unter dem Remote-Benutzer gelöscht.
Beachtung	Anmerkung: Ab Junos OS Version 23.2R1 unterstützt J-Web die Compliance-Option für die Remote-Benutzerseite. Diese Option wird für Firewalls der SRX300-Reihe und SRX550HM Firewalls nicht unterstützt. Wählen Sie die Compliance-Regel aus der Liste aus, die von der Firewall der SRX-Serie validiert wird, um einen VPN-Tunnel einzurichten, bevor sich ein Benutzer anmeldet. Um eine neue Compliance-Regel zu erstellen, klicken Sie auf Erstellen. Die Seite "Pre-Logon Compliance erstellen" wird angezeigt. Informationen zu den Feldern finden Sie unter Erstellen der Konformität vor der Anmeldung.

Tabelle 3: Felder auf der Seite "Lokales Gateway"
Feld	Aktion
Gateway steckt hinter NAT	Aktivieren Sie diese Option, wenn sich das lokale Gateway hinter einem NAT-Gerät befindet.
NAT-IP-Adresse	Geben Sie die öffentliche IP-Adresse (NAT) der Firewall der SRX-Serie ein. Anmerkung: Diese Option ist nur verfügbar, wenn das Gateway hinter NAT aktiviert ist. Sie können eine IPv4-Adresse so konfigurieren, dass sie auf das NAT-Gerät verweist.
Externe Schnittstelle	Wählen Sie eine ausgehende Schnittstelle aus der Liste aus, mit der der Client eine Verbindung herstellen soll. Die Liste enthält alle verfügbaren IP-Adressen, wenn mehr als eine IPv4-Adresse für die angegebene Schnittstelle konfiguriert ist. Die ausgewählte IP-Adresse wird als lokale Adresse unter dem IKE-Gateway konfiguriert.
Verbindungsprofil	Dies ist ein Pflichtfeld. Geben Sie das Verbindungsprofil im Format FQDN oder FQDN/Realm ein. Das Verbindungsprofil kann eine beliebige Zeichenfolge sein und Punkte und Schrägstriche enthalten. Maximal 255 Zeichen. Die IKE-ID wird automatisch aus dem Verbindungsprofil abgeleitet. Anmerkung: Ab Junos OS 23.1R1 wird die IKE-ID automatisch anhand des Verbindungsprofils abgeleitet. Wenn der System-Hostname konfiguriert ist, wird die IKE-ID als <konfigurierter-Hostname>@connection-Profil konfiguriert, andernfalls ist sie no-config-hostname@connection-profile. Wenn das Verbindungsprofil einen Bereich (/hr) hat, wird beim Bilden der IKE-ID "/" durch "." ersetzt. Bei vorhandenen VPNs, bei denen der Name des RAS-Profils keinen Punkt (.) enthält, wird das Verbindungsprofil als external-IP für das Standardprofil oder als external-IP/VPN-Name für das nicht standardmäßige Profil angezeigt. Nachdem Sie ein vorhandenes VPN aktualisiert haben, wird der Standardprofilname mit dem Verbindungsprofilwert aktualisiert. Wenn Sie den Wert des Verbindungsprofils ändern, wird die IKE-ID automatisch aktualisiert.
Tunnel-Schnittstelle	Wählen Sie in der Liste eine Schnittstelle aus, mit der der Client eine Verbindung herstellen soll. Klicken Sie auf Hinzufügen , um eine neue Schnittstelle hinzuzufügen. Die Seite "Tunnelschnittstelle erstellen" wird angezeigt. Weitere Informationen zum Erstellen einer neuen Tunnelschnittstelle finden Sie in Tabelle 4. Klicken Sie auf Bearbeiten , um die ausgewählte Tunnelschnittstelle zu bearbeiten.
Vorinstallierter Schlüssel	Geben Sie einen der folgenden Werte des vorinstallierten Schlüssels ein: ascii-text: ASCII-Textschlüssel. hexadezimal: Hexadezimalschlüssel. Anmerkung: Diese Option ist verfügbar, wenn die Authentifizierungsmethode Pre-Shared Key ist.
Lokales Zertifikat	Wählen Sie ein lokales Zertifikat aus der Liste aus. Lokales Zertifikat listet nur die RSA-Zertifikate auf. Anmerkung: Diese Option ist nur verfügbar, wenn Sie die Authentifizierungsmethode EAP-TLS (Zertifikat) auswählen. Ab Junos OS 23.1R1 werden alle Gerätezertifikate in lokalen Zertifikaten aufgeführt. Zum Beispiel Let's Encrypt- und ACME-Zertifikate. Weitere Informationen zu Gerätezertifikaten finden Sie unter Erstellen eines Gerätezertifikats
Benutzerauthentifizierung	Dieses Feld muss ausgefüllt werden. Wählen Sie das Authentifizierungsprofil aus der Liste aus, das zur Authentifizierung des Benutzers verwendet wird, der auf das RAS-VPN zugreift. Klicken Sie auf Hinzufügen , um ein neues Profil zu erstellen. Weitere Informationen zum Erstellen eines neuen Zugriffsprofils finden Sie unter Hinzufügen eines Zugriffsprofils.
SSL-VPN-Profil	Wählen Sie das SSL-VPN-Profil aus der Liste aus, das zum Beenden der RAS-Verbindungen verwendet werden soll. So erstellen Sie ein neues SSL-VPN-Profil: Klicken Sie auf Hinzufügen. Geben Sie die folgenden Details ein: Name: Geben Sie den Namen für ein SSL-VPN-Profil ein. Protokollierung: Aktivieren Sie diese Option, um für SSL-VPN zu protokollieren. SSL-Terminierungsprofil: Wählen Sie ein SSL-Terminierungsprofil aus der Liste aus. So fügen Sie ein neues SSL-Terminierungsprofil hinzu: Klicken Sie auf Hinzufügen. Die Seite SSL-Terminierungsprofil erstellen wird angezeigt. Geben Sie die folgenden Details ein: Name: Geben Sie einen Namen für das SSL-Terminierungsprofil ein. Serverzertifikat: Wählen Sie ein Serverzertifikat aus der Liste aus. Um ein Zertifikat hinzuzufügen, klicken Sie auf Hinzufügen. Weitere Informationen zum Hinzufügen eines Gerätezertifikats finden Sie unter Hinzufügen eines Gerätezertifikats. Um ein Zertifikat zu importieren, klicken Sie auf Importieren. Weitere Informationen zum Importieren eines Gerätezertifikats finden Sie unter Importieren eines Gerätezertifikats. Klicken Sie auf OK. Klicken Sie auf OK. Klicken Sie auf OK.
Quell-NAT-Datenverkehr	Diese Option ist standardmäßig aktiviert. Der gesamte Datenverkehr vom Juniper Secure Connect-Client wird standardmäßig per NAT an die ausgewählte Schnittstelle weitergeleitet. Wenn diese Option deaktiviert ist, müssen Sie sicherstellen, dass Sie eine Route von Ihrem Netzwerk haben, die auf die Firewalls der SRX-Serie verweist, um den Rückverkehr korrekt zu verarbeiten.
Schnittstelle	Wählen Sie eine Schnittstelle aus der Liste aus, über die der Quell-NAT-Datenverkehr geleitet wird.
Geschützte Netzwerke	Klicken Sie auf +. Die Seite "Geschützte Netzwerke erstellen" wird angezeigt.
Geschützte Netzwerke erstellen
Zone	Wählen Sie eine Sicherheitszone aus der Liste aus, die in der Firewallrichtlinie als Quellzone verwendet werden soll.
Globale Adresse	Wählen Sie die Adressen aus der Spalte Verfügbar aus, und klicken Sie dann auf den Pfeil nach rechts, um sie in die Spalte Ausgewählt zu verschieben. Klicken Sie auf Hinzufügen , um die Netzwerke auszuwählen, mit denen der Client eine Verbindung herstellen kann. Die Seite "Globale Adresse erstellen" wird angezeigt. Weitere Informationen zu den Feldern finden Sie in Tabelle 5.
Redigieren	Wählen Sie das geschützte Netzwerk aus, das Sie bearbeiten möchten, und klicken Sie auf das Stiftsymbol. Die Seite "Geschützte Netzwerke bearbeiten" wird mit bearbeitbaren Feldern angezeigt.
Löschen	Wählen Sie das geschützte Netzwerk aus, das Sie bearbeiten möchten, und klicken Sie auf das Symbol "Löschen". Die Bestätigungsmeldung wird angezeigt. Klicken Sie auf Ja , um das geschützte Netzwerk zu löschen.

Tabelle 4: Felder auf der Seite "Tunnelschnittstelle erstellen"
Feld	Aktion
Schnittstelleneinheit	Geben Sie die Nummer der logischen Einheit ein.
Beschreibung	Geben Sie eine Beschreibung für die logische Schnittstelle ein.
Zone	Wählen Sie eine Zone aus der Liste aus, um sie der Tunnelschnittstelle hinzuzufügen. Diese Zone wird bei der automatischen Erstellung der Firewall-Richtlinie verwendet. Klicken Sie auf Hinzufügen , um eine neue Zone hinzuzufügen. Geben Sie den Namen und die Beschreibung der Zone ein, und klicken Sie auf der Seite Sicherheitszone erstellen auf OK .
Routing-Instanz	Wählen Sie eine Routing-Instanz aus der Liste aus. Anmerkung: Die Standard-Routinginstanz primary bezieht sich auf die Hauptrouting-Tabelle inet.0 im logischen System.

Tabelle 5: Felder auf der Seite "Globale Adresse erstellen"
Feld	Aktion
Name	Geben Sie einen Namen für die globale Adresse ein. Der Name muss eine eindeutige Zeichenfolge sein, die mit einem alphanumerischen Zeichen beginnen muss und Doppelpunkte, Punkte, Bindestriche und Unterstriche enthalten kann. keine Leerzeichen erlaubt; Maximal 63 Zeichen.
IP-Typ	Wählen Sie IPv4 aus.
IPv4
IPv4-Adresse	Geben Sie eine gültige IPv4-Adresse ein.
Subnetz	Geben Sie das Subnetz für die IPv4-Adresse ein.

Tabelle 6: IKE- und IPsec-Einstellungen
Feld	Aktion
IKE-Einstellungen Anmerkung: Die folgenden Parameter werden automatisch generiert und nicht in der J-Web UI angezeigt: Wenn es sich bei der Authentifizierungsmethode um einen vorinstallierten Schlüssel handelt, ist die IKE-Version v1, ike-user-type ist shared-ike-id und mode ist Aggressive. Wenn die Authentifizierungsmethode zertifikatbasiert ist, ist die IKE-Version v2, ike-user-type ist shared-ike-id und mode ist Main. Ab Junos OS Version 23.2R1 lautet der ike-user-type group-ike-id. Dies hilft Ihnen, den Zugriff auf mehrere Geräte zu ermöglichen. Sie können das vorhandene VPN bearbeiten und speichern, um es in group-ike-id zu konvertieren. Dies wird für Firewalls der SRX300-Reihe und SRX550HM Firewalls nicht unterstützt.
Verschlüsselungsalgorithmus	Wählen Sie den entsprechenden Verschlüsselungsmechanismus aus der Liste aus. Der Standardwert ist AES-CBC 256-Bit.
Authentifizierungsalgorithmus	Wählen Sie den Authentifizierungsalgorithmus aus der Liste aus. Beispiel: SHA 256-Bit.
DH-Gruppe	Ein Diffie-Hellman (DH)-Austausch ermöglicht es den Teilnehmern, einen gemeinsamen geheimen Wert zu generieren. Wählen Sie die entsprechende DH-Gruppe aus der Liste aus. Der Standardwert ist group19.
Lebenslange Sekunden	Wählen Sie eine Lebensdauer (in Sekunden) einer IKE-Sicherheitszuordnung (SA) aus. Der Standardwert ist 28.800 Sekunden. Reichweite: 180 bis 86.400 Sekunden.
Erkennung toter Peers	Aktivieren Sie diese Option, um Anforderungen zur Erkennung toter Peers zu senden, unabhängig davon, ob ausgehender IPsec-Datenverkehr zum Peer vorhanden ist.
DPD-Modus	Wählen Sie eine der Optionen aus der Liste aus: optimized: Sendet Sonden nur, wenn ausgehender Datenverkehr und kein eingehender Datenverkehr vorhanden ist – RFC3706 (Standardmodus). probe-idle-tunnel – Sendet Sonden wie im optimierten Modus und auch dann, wenn kein ausgehender oder eingehender Datenverkehr vorhanden ist. always-send: Senden Sie in regelmäßigen Abständen Sondierungen, unabhängig vom ein- und ausgehenden Datenverkehr.
DPD-Intervall	Wählen Sie ein Intervall (in Sekunden) aus, in dem Nachrichten zur Erkennung toter Peers gesendet werden sollen. Das Standardintervall beträgt 10 Sekunden. Der Bereich beträgt 2 bis 60 Sekunden.
DPD-Schwelle	Wählen Sie eine Zahl zwischen 1 und 5 aus, um den DPD-Schwellenwert für Fehler festzulegen. Dies gibt an, wie oft die DPD-Nachrichten maximal gesendet werden müssen, wenn keine Antwort vom Peer eingeht. Die Standardanzahl der Übertragungen beträgt 5 Mal.
Erweiterte Konfiguration (optional)
NAT-T	Aktivieren Sie diese Option, damit IPsec-Datenverkehr über ein NAT-Gerät geleitet wird. NAT-T ist ein IKE-Phase-1-Algorithmus, der verwendet wird, wenn versucht wird, eine VPN-Verbindung zwischen zwei Gateway-Geräten herzustellen, bei denen sich ein NAT-Gerät vor einer der Firewalls der SRX-Serie befindet.
NAT am Leben erhalten	Wählen Sie das entsprechende Keepalive-Intervall in Sekunden aus. Bereich: 1 bis 300. Wenn zu erwarten ist, dass das VPN längere Zeiträume inaktiv sein wird, können Sie Keepalive-Werte konfigurieren, um künstlichen Datenverkehr zu generieren, damit die Sitzung auf den NAT-Geräten aktiv bleibt.
IKE-Verbindungsbegrenzung	Geben Sie die Anzahl der gleichzeitigen Verbindungen ein, die das VPN-Profil unterstützt. Der Bereich liegt zwischen 1 und 4294967295. Wenn die maximale Anzahl von Verbindungen erreicht ist, können keine IKE-Endpunkte (Remote Access User) mehr, die versuchen, auf ein IPsec-VPN zuzugreifen, mit IKE-Aushandlungen (Internet Key Exchange) beginnen.
IKEv2-Fragmentierung	Diese Option ist standardmäßig aktiviert. Bei der IKEv2-Fragmentierung wird eine große IKEv2-Nachricht in eine Gruppe kleinerer Nachrichten aufgeteilt, sodass es keine Fragmentierung auf IP-Ebene gibt. Die Fragmentierung findet statt, bevor die ursprüngliche Nachricht verschlüsselt und authentifiziert wird, sodass jedes Fragment separat verschlüsselt und authentifiziert wird. Anmerkung: Diese Option ist verfügbar, wenn die Authentifizierungsmethode "Zertifikatsbasiert" ist.
IKEv2-Fragmentgröße	Wählen Sie die maximale Größe einer IKEv2-Nachricht in Byte aus, bevor sie in Fragmente aufgeteilt wird. Die Größe gilt für IPv4-Nachrichten. Bereich: 570 bis 1320 Byte. Der Standardwert ist 576 Byte. Anmerkung: Diese Option ist verfügbar, wenn die Authentifizierungsmethode "Zertifikatsbasiert" ist.
IPsec-Einstellungen Anmerkung: Die Authentifizierungsmethode ist Pre-Shared Key- oder Zertifikatsbasiert und generiert automatisch das Protokoll als ESP.
Verschlüsselungsalgorithmus	Wählen Sie die Verschlüsselungsmethode aus. Der Standardwert ist AES-GCM 256-Bit.
Authentifizierungsalgorithmus	Wählen Sie den IPsec-Authentifizierungsalgorithmus aus der Liste aus. Beispiel: HMAC-SHA-256-128. Anmerkung: Diese Option ist verfügbar, wenn der Verschlüsselungsalgorithmus nicht gcm ist.
Perfekte Vorwärts-Geheimhaltung	Wählen Sie Perfect Forward Secrecy (PFS) aus der Liste aus. Das Gerät verwendet diese Methode, um den Verschlüsselungsschlüssel zu generieren. Der Standardwert ist group19. PFS generiert jeden neuen Verschlüsselungsschlüssel unabhängig vom vorherigen Schlüssel. Die höher nummerierten Gruppen bieten mehr Sicherheit, erfordern aber mehr Verarbeitungszeit. Anmerkung: Group15, Group16 und Group21 unterstützen nur Geräte der SRX5000-Reihe mit einer SPC3-Karte und einem installierten Junos-IKE-Gehäuse.
Lebenslange Sekunden	Wählen Sie die Lebensdauer (in Sekunden) einer IPsec-Sicherheitszuordnung (SA) aus. Wenn die Sicherheitszuordnung abläuft, wird sie durch eine neue Sicherheitszuordnung und einen neuen Sicherheitsparameterindex (Security Parameter Index, SPI) ersetzt oder beendet. Der Standardwert ist 3.600 Sekunden. Reichweite: 180 bis 86.400 Sekunden.
Kilobyte über die gesamte Lebensdauer	Wählen Sie die Lebensdauer (in Kilobyte) einer IPsec-Sicherheitszuordnung aus. Der Standardwert ist 256 KB. Reichweite: 64 bis 4294967294.
Erweiterte Konfiguration
Anti-Wiederholung	IPsec schützt vor VPN-Angriffen, indem es eine in das IPsec-Paket integrierte Zahlenfolge verwendet – das System akzeptiert keine Pakete mit derselben Sequenznummer. Diese Option ist standardmäßig aktiviert. Das Anti-Replay prüft die Sequenznummern und erzwingt die Überprüfung, anstatt die Sequenznummern einfach zu ignorieren. Deaktivieren Sie Anti-Replay, wenn ein Fehler mit dem IPsec-Mechanismus auftritt, der zu nicht in der richtigen Reihenfolge der Pakete führt, wodurch die ordnungsgemäße Funktionalität verhindert wird.
Installationsintervall	Wählen Sie die maximale Anzahl von Sekunden aus, um die Installation einer neu verschlüsselten ausgehenden Sicherheitszuordnung (SA) auf dem Gerät zu ermöglichen. Wählen Sie einen Wert zwischen 1 und 10 Sekunden.
Stillstandszeit	Wählen Sie das Leerlaufzeitintervall aus. Bei den Sitzungen und den entsprechenden Übersetzungen tritt nach einer bestimmten Zeit eine Zeitüberschreitung auf, wenn kein Datenverkehr empfangen wird. Die Reichweite beträgt 60 bis 999999 Sekunden.
DF-Bit	Wählen Sie aus, wie das Gerät das DF-Bit (Don't Fragment) im äußeren Header verarbeitet: clear – Löscht (deaktiviert) das DF-Bit aus dem äußeren Header. Dies ist die Standardeinstellung. copy: Kopiert das DF-Bit in den äußeren Header. set: Setzt (aktiviert) das DF-Bit im äußeren Header.
Äußeres DSCP kopieren	Diese Option ist standardmäßig aktiviert. Dies ermöglicht das Kopieren des Differentiated Services Code Point (DSCP) (äußeres DSCP+ECN) aus dem verschlüsselten Paket des äußeren IP-Headers in die Klartextnachricht des inneren IP-Headers auf dem Entschlüsselungspfad. Wenn diese Funktion aktiviert ist, können Klartextpakete nach der IPsec-Entschlüsselung den internen CoS-Regeln (DSCP+ECN) folgen.

Erstellen Sie ein Remote Access-VPN – Juniper Secure Connect

Zugehörige Dokumentation