Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Lokale Benutzerauthentifizierung mit Pre-shared Key (CLI-Verfahren)

Überblick

In dieser Konfiguration verwenden Sie den Benutzernamen und das Kennwort für die lokale Benutzerauthentifizierung. Diese Konfigurationsoption ermöglicht es Ihnen nicht, Ihre Anmeldeinformationen zu ändern oder wiederherzustellen, ohne mit dem Firewall-Administrator zu interagieren, daher empfehlen wir diese Authentifizierungsmethode nicht. Stattdessen wird empfohlen, die externe Benutzerauthentifizierung mit der RADIUS-Methode zu verwenden.

Wir gehen davon aus, dass Sie die grundlegende Einrichtung Ihrer Firewalls der SRX-Serie, einschließlich Schnittstellen, Zonen und Sicherheitsrichtlinien, abgeschlossen haben, wie in Abbildung 1 dargestellt.

Abbildung 1: Topologie Topology

Informationen zu den Voraussetzungen finden Sie unter Systemanforderungen für Juniper Secure Connect.

Sie müssen sicherstellen, dass die Firewall der SRX-Serie entweder ein signiertes Zertifikat oder ein selbstsigniertes Zertifikat anstelle des vom System generierten Standardzertifikats verwendet. Bevor Sie mit der Konfiguration von Juniper Secure Connect beginnen, müssen Sie das Zertifikat durch Ausführen des folgenden Befehls an die Firewall der SRX-Serie binden:

Zum Beispiel:

Dabei SRX_Certificate das selbstsignierte Zertifikat.

CLI Schnellkonfiguration

Um dieses Beispiel schnell auf Ihren Firewalls der SRX-Serie zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] ein.

Schritt-für-Schritt-Vorgehensweise

So konfigurieren Sie VPN-Einstellungen über die Befehlszeilenschnittstelle:

  1. Melden Sie sich über die Befehlszeilenschnittstelle (CLI) bei Ihrer Firewall der SRX-Serie an.
  2. Wechseln Sie in den Konfigurationsmodus.
  3. Konfigurieren Sie das VPN für den Remotezugriff.
    Zustand

    Für die Bereitstellung von Juniper Secure Connect müssen Sie ein selbstsigniertes Zertifikat erstellen und das Zertifikat an die Firewall der SRX-Serie binden. Weitere Informationen finden Sie unter Vorbereiten der Juniper Secure Connect-Konfiguration.

    IKE-Konfiguration:

    1. Konfigurieren Sie den IKE-Vorschlag.
      • Definieren Sie die Authentifizierungsmethode des IKE-Vorschlags, die Diffie-Hellman-Gruppe und den Authentifizierungsalgorithmus.
      • Konfigurieren Sie Pre-shared Keys als Authentifizierungsmethode.

        Geben Sie den Schlüssel im ASCII-Format ein. Das Hexadezimalformat für VPN für Remote-Zugriff wird nicht unterstützt.

      Siehe Vorschlag (Security IKE).
    2. Konfigurieren Sie die IKE-Richtlinie.

      Legen Sie den IKE-Phase-1-Richtlinienmodus, den Verweis auf den IKE-Vorschlag und die IKE-Phase-1-Richtlinienauthentifizierungsmethode fest.

      Weitere Informationen finden Sie unter Richtlinie (Sicherheits-IKE).
    3. Konfigurieren Sie IKE-Gateway-Optionen. Siehe dynamisch.

      Wenn Sie die DPD-Werte und die Versionsinformationen nicht konfigurieren, weist das Junos OS den Standardwert für diese Optionen zu. Weitere Informationen finden Sie unter Dead-Peer-Detection.

      Konfigurieren Sie die IP-Adresse der externen Schnittstelle, mit der die Clients eine Verbindung herstellen können. Sie müssen dieselbe IP-Adresse (in diesem Beispiel: 192.0.2.0) für das Feld "Gateway-Adresse " in der Juniper Secure Connect-Anwendung eingeben. Siehe Gateway.

    IPsec-Konfiguration:

    1. Konfigurieren Sie den IPsec-Vorschlag.
      Siehe Vorschlag (Sicherheit IPsec).
    2. Konfigurieren Sie die IPsec-Richtlinie.
      • Geben Sie IPsec Phase 2 PFS an, um die Diffie-Hellman-Gruppe 19 zu verwenden.
      • Geben Sie die Referenz für IPsec-Phase-2-Vorschläge an.
      Siehe Richtlinie (Sicherheit IPsec).

    IPsec-VPN-Konfiguration:

    1. Konfigurieren Sie IPsec-VPN-Parameter. Siehe vpn (Sicherheit).
    2. Konfigurieren Sie VPN-Datenverkehrsselektoren. Siehe traffic-selector.
  4. Konfigurieren Sie die Clientoptionen für Remotebenutzer.
    1. Konfigurieren Sie das RAS-Profil. Weitere Informationen finden Sie unter Remote-Zugriff.
    2. Konfigurieren Sie die Konfiguration des RAS-Clients. Weitere Informationen finden Sie unter client-config.

    Tabelle 1 fasst die Optionen für Remotebenutzereinstellungen zusammen.

    Tabelle 1: Optionen für Remotebenutzereinstellungen

    Remote-Benutzereinstellungen

    Beschreibung

    Verbindungsmodus

    Um die Clientverbindung manuell oder automatisch herzustellen, konfigurieren Sie die entsprechende Option.

    • Wenn Sie die manuelle Option konfigurieren, müssen Sie in der Juniper Secure Connect Anwendung entweder auf die Umschaltfläche klicken oder Verbindung > Verbindung aus dem Menü auswählen, um eine Verbindung herzustellen.

    • Wenn Sie die Option "Immer " konfigurieren, stellt Juniper Secure Connect die Verbindung automatisch her.

    Bekannte Einschränkung:

    Android-Gerät: Wenn Sie "Immer" verwenden oder auswählen, wird die Konfiguration vom ersten verwendeten SRX-Gerät heruntergeladen. Wenn sich die erste Firewall-Konfiguration der SRX-Serie ändert oder wenn Sie eine Verbindung zu einem neuen SRX-Gerät herstellen, wird die Konfiguration nicht in die Juniper Secure Connect-Anwendung heruntergeladen.

    Das bedeutet, dass Konfigurationsänderungen in der Firewall der SRX-Serie nicht auf Juniper Secure Connect angewendet werden, sobald Sie im Always-Modus mit dem Android-Gerät eine Verbindung herstellen.

    Erkennung von toten Kollegen

    Dead Peer Detection (DPD) ist standardmäßig aktiviert, damit der Client erkennen kann, ob die Firewall der SRX-Serie erreichbar ist, und wenn das Gerät nicht erreichbar ist, die Verbindung deaktiviert, bis die Erreichbarkeit wiederhergestellt ist.

    default -profile

    Wenn Sie ein VPN-Verbindungsprofil als Standardprofil konfigurieren, müssen Sie nur die Gateway-Adresse in der Juniper Secure Connect-Anwendung eingeben. Die Eingabe des Bereichsnamens in der Juniper Secure Connect-Anwendung ist optional, da die Anwendung automatisch das Standardprofil als Bereichsnamen auswählt. Geben Sie in diesem Beispiel ra.example.com in das Feld Gateway-Adresse der Juniper Secure Connect Anwendung ein.

    Anmerkung:

    Ab Junos OS Version 23.1R1 haben wir die default-profile Option auf der Hierarchieebene [edit security remote-access] ausgeblendet. In Versionen vor Junos OS Version 23.1R1 verwenden Sie diese Option, um eines der RAS-Profile als Standardprofil in Juniper Secure Connect anzugeben. Da sich jedoch das Format der Profilnamen für den Remotezugriff geändert hat, ist diese default-profile Option nicht mehr erforderlich.

    Wir haben die default-profile Option veraltet markiert, anstatt sie sofort zu entfernen, um Abwärtskompatibilität und die Möglichkeit zu bieten, Ihre vorhandene Konfiguration an die geänderte Konfiguration anzupassen. Sie erhalten eine Warnmeldung, wenn Sie die default-profile Option in Ihrer Konfiguration weiterhin verwenden . Vorhandene Bereitstellungen sind jedoch nicht betroffen, wenn Sie die aktuelle Konfiguration ändern. Siehe Standardprofil (Juniper Secure Connect).
  5. Konfigurieren Sie das lokale Gateway.
    1. Erstellen Sie einen Adresspool für die dynamische Client-IP-Zuweisung. Siehe Adressvergabe (Zugriff).

      • Geben Sie die Netzwerkadresse ein, die Sie für die Adressvergabe verwenden.

      • Geben Sie die Adresse Ihres DNS-Servers ein. Geben Sie bei Bedarf WINS-Serverdetails ein. Erstellen Sie den Adressbereich, um den Clients IP-Adressen zuzuweisen.

      • Geben Sie den Namen sowie die untere und höhere Grenze ein.

    2. Zugriffsprofil erstellen. Geben Sie die Details für den lokalen IP-Pool ein, der in der VPN-Richtlinie für die Clients enthalten ist. Geben Sie einen Namen für den IP-Adresspool ein.

      Geben Sie einen Benutzernamen und ein Kennwort für die lokale SRX-Authentifizierung von Client-Anmeldeinformationen ein.

    3. Erstellen Sie ein SSL-Beendigungsprofil. Bei der SSL-Beendigung fungieren die Firewalls der SRX-Serie als SSL-Proxy-Server und beenden die SSL-Sitzung vom Client aus. Geben Sie den Namen für das SSL-Beendigungsprofil ein und wählen Sie das Serverzertifikat aus, das Sie für die SSL-Beendigung auf den Firewalls der SRX-Serie verwenden. Das Serverzertifikat ist eine lokale Zertifikats-ID. Serverzertifikate werden verwendet, um die Identität eines Servers zu authentifizieren.
    4. Erstellen Sie ein SSL-VPN-Profil. Siehe tcp-encap.
    5. Erstellen Sie Firewall-Richtlinien.
      Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone zur VPN-Zone zuzulassen.
      Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Vertrauenszone zuzulassen.
  6. Konfigurieren Sie die Informationen zur Ethernet-Schnittstelle.

    Konfigurieren Sie die st0-Schnittstelle mit der als inet festgelegten Familie.

  7. Konfigurieren von Sicherheitszonen.

    Für host-inbound-traffic die erforderliche Mindestkonfiguration:

    1. system-services - Wählen Sie in der VPN Zone aus ike , ob der VPN-Dienst zugelassen werden soll und https die HTTPS-Verbindung zulässig ist, um die Erstkonfiguration an die Juniper Secure Connect-Anwendung zu übertragen. Wählen Sie in der trust Zone die Option httpsaus.

    2. protocols - Keine für die Grundkonfiguration.

      Weitere Informationen finden Sie unter system-services und protokolle.

    In dem Konfigurationsbeispiel, das wir erwähnen all system-services , und protocols. Wir empfehlen Ihnen jedoch, nur die notwendigen Dienste und Protokolle zuzulassen.

  8. Die Remotezugriffskonfiguration mit Remotebenutzer und lokalem Gateway wurde erfolgreich konfiguriert.
  9. Starten Sie die Juniper Secure Connect-Anwendung, und geben Sie dieselbe IP-Adresse an, die Sie für die externe IP-Adresse im Feld "Gateway-Adresse" in der Juniper Secure Connect-Anwendung konfiguriert haben.

    In diesem Beispiel haben Sie 192.0.2.0 als externe Schnittstellen-IP-Adresse für die Clients konfiguriert, mit der eine Verbindung hergestellt werden soll. Sie müssen dieselbe IP-Adresse (192.0.2.0) für das Feld "Gateway-Adresse" in der Juniper Secure Connect-Anwendung eingeben.

Ergebnis

Bestätigen Sie im Betriebsmodus Ihre Konfiguration, indem Sie die show securityBefehle , show accessund show services eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Stellen Sie sicher, dass Sie bereits über ein Serverzertifikat verfügen, das Sie mit dem SSL-Beendigungsprofil anfügen können.

Wenn Sie mit der Konfiguration der Funktion auf Ihrem Gerät fertig sind, wechseln Sie in den Konfigurationsmodus.

Zugehörige Dokumentation