Configurer un VPN IPsec
Objectifs de conception des VPN IPSec
Votre VPN IPsec doit répondre aux critères suivants :
- Configurez un VPN IPsec dynamique pour prendre en charge l’attribution d’adresse DHCP à l’interface WAN par le fournisseur de services Internet.
- Assurez-vous que seul le trafic provenant de la zone de confiance peut utiliser le tunnel IPsec.
- Assurez-vous que seul le trafic destiné au sous-réseau 172.168.200.0/24 utilise le tunnel IPsec.
| Valeur | des paramètres |
|---|---|
| Interface tunnel | st0 |
| IP de tunnel de filiale | 10.0.0.1/24 |
| IP de tunnel d’entreprise | 10.0.0.2/24 |
| Proposition IKE | Standard |
| Mode IKE | Agressif |
| Clé pré-partagée | « srx_branch » |
| Établissement de tunnel | Immédiatement |
| Identité de la filiale | Branche |
| Identité de l’entreprise | Hq |
| Zone de sécurité du tunnel | Vpn |
Configurer un VPN IPsec basé sur le routage
Allons-y et configurons un VPN IPsec !
- Connectez-vous en tant que root sur la console de l’équipement. Lancez l’interface CLI et entrez le mode de configuration.
login: branch_srx (ttyu0) root@branch_srx% cli root@branch_srx> configure Entering configuration mode [edit] root@branch_srx#
- Configurez l’interface du tunnel st0. Un tunnel non numéroté est pris en charge dans ce scénario. Ici, nous choisissons de numéroter les points de fin du tunnel. L’un des avantages de la numérotation du tunnel est de permettre les tests ping des terminaux du tunnel pour aider à déboguer tout problème de connectivité.
[edit] root@branch_srx# set interfaces st0 unit 0 family inet address 10.0.0.1/24
- Définissez une route statique vers le trafic direct destiné au trafic 172.16.200.0/24 dans le tunnel IPsec.
[edit] root@branch_srx# set routing-options static route 172.16.200.0/24 next-hop st0.0
- Configurez les paramètres IKE. Les paramètres d’identité locale et d’identité distante sont importants pour la prise en charge d’un VPN IPsec dynamique. Lorsque des adresses IP statiques sont utilisées, vous définissez une passerelle IKE locale et distante spécifiant ces adresses IP statiques.
En passant, nous allons configurer des éléments de sécurité pour que vous vous gariez au niveau de la
[edit security]hiérarchie :[edit security] root@branch_srx# set ike proposal standard authentication-method pre-shared-keys root@branch_srx# set ike policy ike-pol mode aggressive root@branch_srx# set ike policy ike-pol proposals standard root@branch_srx# set ike policy ike-pol pre-shared-key ascii-text branch_srx root@branch_srx# set ike gateway ike-gw ike-policy ike-pol root@branch_srx# set ike gateway ike-gw address 172.16.1.1 root@branch_srx# set ike gateway ike-gw local-identity hostname branch root@branch_srx# set ike gateway ike-gw remote-identity hostname hq root@branch_srx# set ike gateway ike-gw external-interface ge-0/0/0
Note:Pour prendre en charge un VPN IPsec dynamique, l’instruction doit être
set security ike gateway ike-gw dynamic hostname <name>configurée dans la proposition IKE. Lorsque l’extrémité distante lance une connexion, le nom est utilisé pour correspondre à la proposition IKE plutôt qu’à une adresse IP. Cette méthode est utilisée lorsque les adresses IP peuvent changer en raison de l’attribution dynamique. - Configurez les paramètres du tunnel IPsec.
[edit security] root@branch_srx# set ipsec proposal standard root@branch_srx# set ipsec policy ipsec-pol proposals standard root@branch_srx# set ipsec vpn to_hq bind-interface st0.0 root@branch_srx# set ipsec vpn to_hq ike gateway ike-gw root@branch_srx# set ipsec vpn to_hq ike ipsec-policy ipsec-pol root@branch_srx# set ipsec vpn to_hq establish-tunnels immediately
- Ajustez les stratégies de sécurité pour créer une vpn zone et permettre au trafic de passer de la trust zone à la vpn zone. Nous configurons la zone pour que le vpn ping lié à l’hôte puisse être utilisé dans le débogage, étant donné que nous avons opté pour le numéro de notre tunnel IPsec. Dans cette étape, vous placez également l’interface du tunnel IPsec dans la vpn zone.
[edit security] root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match application any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn then permit root@branch_srx# set security zones security-zone vpn host-inbound-traffic system-services ping root@branch_srx# set zones security-zone vpn interfaces st0.0
Note:Dans cet exemple, nous la restons simple et correspondons à n’importe quelle adresse IP source ou de destination. Nous nous appuyons sur la route statique pour diriger uniquement le trafic à destination du site distant vers le tunnel. Pour une meilleure sécurité, pensez à définir des entrées de carnet d’adresses pour les sous-réseaux 192.168.2.0/24 et 172.16.200.0/24 distants. Avec les entrées du carnet d’adresses définies pour les deux sous-réseaux, vous allumez
source-address <source_name>etdestination-address <dest_name>appliquez votre stratégie de sécurité. En incluant les sous-réseaux source et de destination dans votre stratégie, il est beaucoup plus explicite quant au trafic capable d’utiliser le tunnel. - Accroche-toi là, c’est presque fini. Rappelez-vous que l’IKE permet de négocier les clés partagées pour sécuriser le tunnel IPsec. Les messages IKE doivent être envoyés et reçus sur l’interface WAN pour établir le tunnel sur l’interface st0.
Vous devrez modifier les services d’hôtes locaux accessibles via l’interface untrust WAN pour inclure IKE.
[edit security] root@branch_srx# set zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike
Voilà. Vous avez configuré le VPN basé sur le routage IPsec sur la filiale. Assurez-vous de valider vos modifications.
Résultats
Affichons le résultat de votre configuration VPN basée sur le routage IPsec. Nous omettons certaines parties de la configuration par défaut pour plus de brièveté.
[edit]
root@branch-srx# show interfaces st0
unit 0 {
family inet {
address 10.0.0.1/24;
}
}
[edit]
root@branch-srx# show routing-options
static {
route 172.16.200.0/24 next-hop st0.0;
}
ike {
proposal standard {
authentication-method pre-shared-keys;
}
policy ike-pol {
mode aggressive;
proposals standard;
pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39"; ## SECRET-DATA
}
gateway ike-gw {
ike-policy ike-pol;
address 172.16.1.1;
local-identity hostname branch;
remote-identity hostname hq;
external-interface ge-0/0/0;
}
}
ipsec {
proposal standard;
policy ipsec-pol {
proposals standard;
}
vpn to_hq {
bind-interface st0.0;
ike {
gateway ike-gw;
ipsec-policy ipsec-pol;
}
establish-tunnels immediately;
}
}
. . .
policies {
. . .
from-zone trust to-zone vpn {
policy trust-to-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
..
security-zone untrust {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
. . .
ike;
. . .
}
}
}
}
}
. . .
security-zone vpn {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
st0.0;
}
}
}
Assurez-vous de valider votre configuration pour activer les modifications sur votre SRX.
Configurations rapides
Configuration rapide : filiale
Pour configurer rapidement un VPN IPsec, utilisez les instructions suivantes set . Modifiez simplement les instructions de configuration selon les besoins de votre environnement et collez-les dans votre SRX.
Voici la configuration VPN IPsec pour l’équipement de la gamme SRX300 sur les sites distants :
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw address 172.16.1.1 set security ike gateway ike-gw local-identity hostname branch set security ike gateway ike-gw remote-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/0 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces st0 unit 0 family inet address 10.0.0.1/24 set routing-options static route 172.16.200.0/24 next-hop st0.0
Configuration rapide : localisation à distance
Pour plus d’exhaustivité, voici la configuration rapide VPN IPsec correspondant au site distant. C’est similaire à celui que nous avons détaillé pour la filiale. Les principales différences sont que nous utilisons l’instruction dynamic hostname , et une destination différente pour la route statique utilisée pour orienter le trafic dans le tunnel. Nous autorisons le ping dans la vpn zone sur le site distant. En conséquence, vous pingez à la fois les points de terminaison du tunnel (nous avons numéroté notre tunnel), ainsi que l’interface de bouclage. L’interface de bouclage au niveau du site distant représente le sous-réseau 172.16.200.0/24. L’interface lo0 du site distant est placée dans la vpn zone.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$1POEhrKMX7NbSrvLXNY2puORyKWLN-wg" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw dynamic hostname branch set security ike gateway ike-gw local-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/6 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ping set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn interfaces lo0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces lo0 unit 0 family inet address 172.16.200.1/32 set interfaces st0 unit 0 family inet address 10.0.0.2/24 set routing-options static route 192.168.2.0/24 next-hop st0.0
Assurez-vous de valider les modifications. Dans la section suivante, nous allons vous montrer comment vérifier que votre tunnel IPsec fonctionne correctement.