AUF DIESER SEITE
Beispiel: Konfigurieren von VPN auf der virtuellen vSRX-Firewall zwischen Amazon VPCs
Dieses Beispiel zeigt, wie IPsec-VPN zwischen zwei Instanzen der virtuellen vSRX-Firewall auf verschiedenen Amazon VPCs konfiguriert wird.
Vorbereitungen
Stellen Sie sicher, dass Sie eine vSRX Virtual Firewall-Instance in einer Amazon VPC installiert und gestartet haben.
Weitere Informationen finden Sie unter SRX Site-to-Site VPN Configuration Generator und Fehlerbehebung bei einem VPN-Tunnel, der ausgefallen oder nicht aktiv ist .
Übersicht
Sie können IPsec-VPN verwenden, um den Datenverkehr zwischen zwei Amazon VPCs mithilfe von zwei vSRX Virtual Firewall-Instances zu sichern.
vSRX1 VPN-Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie IPsec-VPN auf vSRX1:
Melden Sie sich bei der vSRX1-Konsole im Konfigurationsbearbeitungsmodus an (siehe Konfigurieren von vSRX mithilfe der CLI.
Legen Sie die IP-Adressen für vSRX1-Umsatzschnittstellen fest.
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.10/24 set interfaces st0 unit 1 family inet address 10.0.250.10/24
Richten Sie die nicht vertrauenswürdige Sicherheitszone ein.
set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust host-inbound-traffic system-services https set security zones security-zone untrust host-inbound-traffic system-services ssh set security security-zone untrust interfaces ge-0/0/0.0 set security security-zone untrust interfaces st0.1
Richten Sie die Sicherheitszone für die Vertrauensstellung ein.
set security zone trust host-inbound-traffic system-services https set security zone trust host-inbound-traffic system-services ssh set security zone trust host-inbound-traffic system-services ping set security security-zone trust interfaces ge-0/0/1.0
Konfigurieren Sie IKE.
set security ike proposal AWS_IKE_Proposal authentication-method pre-shared-keys set security ike proposal AWS_IKE_Proposal dh-group group2 set security ike proposal AWS_IKE_Proposal authentication-algorithm sha-256 set security ike proposal AWS_IKE_Proposal encryption-algorithm aes-256-cbc set security ike proposal AWS_IKE_Proposal lifetime-seconds 1800 set security ike policy AWS-R mode aggressive set security ike policy AWS-R proposals AWS_IKE_Proposal set security ike policy AWS-R pre-shared-key ascii-text preshared-key set security ike gateway AWS-R ike-policy AWS-R set security ike gateway AWS-R address 198.51.100.10 set security ike gateway AWS-R local-identity user-at-hostname "source@example.net" set security ike gateway AWS-R remote-identity user-at-hostname "dest@example.net" set security ike gateway AWS-R external-interface ge-0/0/0
Konfigurieren Sie IPsec.
set security ipsec proposal AWS_IPSEC protocol esp set security ipsec proposal AWS_IPSEC authentication-algorithm hmac-sha1-96 set security ipsec proposal AWS_IPSEC encryption-algorithm aes-256-cbc set security ipsec policy AWS_IPSEC_POL proposals AWS_IPSEC set security ipsec vpn aws-aws bind-interface st0.1 set security ipsec vpn aws-aws ike gateway AWS-R set security ipsec vpn aws-aws ike ipsec-policy AWS_IPSEC_POL set security ipsec vpn aws-aws establish-tunnels immediately
Konfigurieren Sie das Routing.
set routing-instances aws instance-type virtual-router set routing-instances aws interface ge-0/0/0.0 set routing-instances aws interface ge-0/0/1.0 set routing-instances aws interface st0.1 set routing-instances aws routing-options static route 0.0.0.0/0 next-hop 10.0.0.1 set routing-instances aws routing-options static route 10.20.20.0/24 next-hop st0.1 commit
vSRX2 VPN-Konfiguration
Schritt-für-Schritt-Anleitung
So konfigurieren Sie IPsec-VPN auf vSRX2:
Melden Sie sich bei der vSRX2-Konsole im Konfigurationsbearbeitungsmodus an (siehe Konfigurieren von vSRX mithilfe der CLI.
Legen Sie die IP-Adressen für die vSRX2-Umsatzschnittstellen fest.
set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.20.20.10/24 set interfaces st0 unit 1 family inet address 10.0.250.20/24
Richten Sie die nicht vertrauenswürdige Sicherheitszone ein.
set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust host-inbound-traffic system-services https set security zones security-zone untrust host-inbound-traffic system-services ssh set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.1
Richten Sie die Sicherheitszone für die Vertrauensstellung ein.
set security zones security-zone trust host-inbound-traffic system-services https set security zones security-zone trust host-inbound-traffic system-services ssh set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust interfaces ge-0/0/1.0
Konfigurieren Sie IKE.
set security ike proposal AWS_IKE_Proposal authentication-method pre-shared-keys set security ike proposal AWS_IKE_Proposal dh-group group2 set security ike proposal AWS_IKE_Proposal authentication-algorithm sha-256 set security ike proposal AWS_IKE_Proposal encryption-algorithm aes-256-cbc set security ike proposal AWS_IKE_Proposal lifetime-seconds 1800 set security ike policy AWS-R mode aggressive set security ike policy AWS-R proposals AWS_IKE_Proposal set security ike policy AWS-R pre-shared-key ascii-text preshared-key set security ike gateway AWS-R ike-policy AWS-R set security ike gateway AWS-R address 203.0.113.10 set security ike gateway AWS-R local-identity user-at-hostname "dest@example.net" set security ike gateway AWS-R remote-identity user-at-hostname "source@example.net" set security ike gateway AWS-R external-interface ge-0/0/0
Konfigurieren Sie IPsec.
set security ipsec proposal AWS_IPSEC protocol esp set security ipsec proposal AWS_IPSEC authentication-algorithm hmac-sha1-96 set security ipsec proposal AWS_IPSEC encryption-algorithm aes-256-cbc set security ipsec policy AWS_IPSEC_POL proposals AWS_IPSEC set security ipsec vpn aws-aws bind-interface st0.1 set security ipsec vpn aws-aws ike gateway AWS-R set security ipsec vpn aws-aws ike ipsec-policy AWS_IPSEC_POL set security ipsec vpn aws-aws establish-tunnels immediately
Konfigurieren Sie das Routing.
set routing-instances aws instance-type virtual-router set routing-instances aws interface ge-0/0/0.0 set routing-instances aws interface ge-0/0/1.0 set routing-instances aws interface st0.1 set routing-instances aws routing-options static route 0.0.0.0/0 next-hop 10.0.0.1 set routing-instances aws routing-options static route 10.10.10.0/24 next-hop st0.1 commit
Überprüfung
Aktive VPN-Tunnel verifizieren
Zweck
Stellen Sie sicher, dass der Tunnel auf beiden vSRX Virtual Firewall-Instanzen auf AWS aktiv ist.
Aktion
ec2-user@> show security ipsec security-associations
Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:aes-‐cbc-‐256/sha1 de836105 1504/ unlim -‐ root 4500 52.200.89.XXX >131074 ESP:aes-‐cbc-‐256/sha1 b349bc84 1504/ unlim -‐ root 4500 52.200.89.XXX
Ab Junos OS Version 17.4R1 wurde der Standardbenutzername von root@ auf geändert ec2-user@.