SUR CETTE PAGE
PPTP ALG
La ALG PPTP (Point-to-Point Tunneling Protocol) est une ALG basée sur TCP. PPTP permet de tunneler le protocole PPP (Point-to-Point Protocol) via un réseau IP. PPTP définit une architecture client-serveur, un serveur réseau PPTP et un concentrateur d’accès PPTP. La ALG PPTP nécessite une connexion de contrôle et un tunnel de données. La connexion de contrôle utilise TCP pour établir et déconnecter les sessions PPP et s’exécute sur le port 1723. Le tunnel de données transporte du trafic PPP dans des paquets GRE (Generic Routing Encapsulated) transportés sur IP.
Compréhension des ALG PPTP
Les ALG PPTP (Point-to-Point Tunneling Protocol) sont utilisées pour la tunnellation de paquets PPP (Point-to-Point Protocol) sur un réseau IP. Les ALG PPTP sont souvent utilisées pour implémenter une architecture client/serveur, un serveur réseau PPTP et un concentrateur d’accès PPTP.
La ALG PPTP traite les paquets PPTP, effectue des traduction des adresses réseau (NAT), des trous d’épingle ouverts pour les nouvelles connexions de données entre un client et un serveur, et transfère des données entre un client et un serveur situé en face d’un équipement Juniper Networks.
Understanding IPv6 Support for the PPTP ALG
La ALG PPTP utilise le port TCP 1723 pour connecter et déconnecter un client et un serveur. La ALG PPTP prend en charge les paquets de données IPv6.
La ALG PPTP avec prise en charge IPv6, analyse les paquets PPTP IPv4 et IPv6, effectue une NAT, puis ouvre un trou d’épingle pour le tunnel de données.
Les ALG PPTP avec prise en charge d’IPv6 ne peuvent pas prendre en charge NAT-PT et NAT64, car les paquets PPP sont compressés avec le protocole MPPE (Point-to-Point Encryption) Microsoft après la mise en place du tunnel ; Il est donc impossible de gérer la traduction de l’en-tête IP dans le package PPP.
La ALG PPTP avec prise en charge IPv6 présente la limitation suivante:
Les paquets PPP étant compressés avec le protocole MPPE (Point-to-Point Encryption) microsoft après la mise en place du tunnel, il est impossible de traduire l’en-tête IP dans le package PPP ; par conséquent, pour s’assurer que la connexion PPTP fonctionne bien, le client PPTP doit être en mesure de travailler en mode double pile. Ainsi, un client PPTP IPv6 peut accepter une adresse IPv4 pour une interface de tunnel PPP, par laquelle il peut communiquer avec le serveur PPTP IPv4 sans traduction d’adresse IP pour les paquets PPP.
Le module de flux prend en charge IPv6 pour l’utilisation du paquet GRE et utilise l’ID d’appel GRE comme de fausses informations sur le port pour rechercher la table de session et la table de porte.
La ALG PPTP peut prendre en charge NAT64 dans un scénario spécifique où la traduction de l’en-tête IP dans le package PPP n’est pas requise, à savoir si le client PPTP fonctionne en mode double pile dans le réseau IPv6 et serveur dans le réseau IPv4.
Exemple: Configuration des ALG PPTP
La ALG PPTP traite les paquets PPTP, effectue NAT et des trous d’épingle ouverts pour les nouvelles connexions de données entre un client et un serveur.
Cet exemple montre comment configurer les ALG PPTP en route ou NAT mode. Cette configuration permet au trafic PPTP de passer par un équipement et de transférer des données entre un client et un serveur situé en face d’Juniper Networks périphérique.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants:
Un équipement SRX Series de sécurité
Deux PC (client et serveur)
Avant de commencer:
Comprendre les concepts liés aux ALG. Voir la présentation des ALG.
Comprendre les bases des ALG PPTP. Découvrez understanding the PPTP ALG (Comprendre les ALG PPTP).
Aperçu
Dans cet exemple, vous configurez d’abord des interfaces réseau sur l’équipement, créez des zones de sécurité et attribuez des interfaces aux zones, puis configurez une stratégie pour permettre au trafic PPTP de passer par un équipement SRX Series réseau.
Vous créez ensuite un ensemble de règles de NAT statiques rs1 avec la règle r1 pour la correspondance avec l’adresse de destination 30.5.2.120/32, et vous créez un préfixe NAT statique avec l’adresse 10.5.1.120/32.
Vous créez ensuite une source NAT pool src-p1 avec un ensemble de règles source src-rs1 pour traduire les paquets de zone fiable en zone non fiable. Pour les paquets correspondants, l’adresse source est traduite en adresse IP dans le pool src-p1.
Vous créez ensuite un pool NAT de destination des-p1 avec une règle de destination des-rs1 pour traduire les paquets de zone trust en adresse de destination 30.5.1.120/32. Pour les paquets correspondants, l’adresse de destination est traduite en adresse IP dans le pool des-p1. Enfin, vous configurez les options de traçabilité des ALG PPTP.
Configuration
Pour configurer les ALG PPTP, exécutez ces tâches:
- Configuration d’un mode de route
- Configuration d’un ensemble NAT statique
- Configuration d’un pool NAT source et d’un ensemble de règles
- Configuration d’un pool NAT de destination et ensemble de règles
- Configuration des options de traçage des ALG PPTP
Configuration d’un mode de route
CLI configuration rapide
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI [edit] au niveau de la hiérarchie, commit puis entrez dans le mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/8 set interfaces fe-0/0/2 unit 0 family inet address 10.10.10.1/8 set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/1 host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic protocols all set security policies from-zone trust to-zone untrust policy pptp match source-address any set security policies from-zone trust to-zone untrust policy pptp match destination-address any set security policies from-zone trust to-zone untrust policy pptp match application junos-pptp set security policies from-zone trust to-zone untrust policy pptp then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer dans différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.
Pour configurer le mode de route:
Configurer des interfaces.
[edit interfaces] user@host#set ge-0/0/1 unit 0 family inet address 20.20.20.1/8 user@host#set fe-0/0/2 unit 0 family inet address 10.10.10.1/8
Configurez des zones et attribuez des interfaces aux zones.
[edit security zones security-zone trust] user@host#set interfaces ge-0/0/1 host-inbound-traffic system-services all user@host#set interfaces ge-0/0/1 host-inbound-traffic protocols all [edit security zones security-zone untrust] user@host#set interfaces fe-0/0/2 host-inbound-traffic system-services all user@host#set interfaces fe-0/0/2 host-inbound-traffic protocols all
Configurez une stratégie PPTP qui permet au trafic PPTP de la zone de confiance à la zone non protégée.
[edit security policies from-zone trust to-zone untrust] user@host#set policy pptp match source-address any user@host#set policy pptp match destination-address any user@host#set policy pptp match application junos-pptp user@host#set policy pptp then permit
Résultats
Depuis le mode de configuration, confirmez votre configuration en entrant les show interfacescommandes et show security zonesles . show security policies Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.
Pour en savoir plus, cette show sortie inclut uniquement la configuration qui est pertinente dans cet exemple. Toutes les autres configurations du système ont été remplacées par des ellipses (ellipses).
[edit]
user@host# show interfaces
...
ge-0/0/1 {
unit 0 {
family inet {
address 20.20.20.1/8;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 10.10.10.1/8;
}
}
}
...
[edit]
user@host# show security zones
security-zone trust {
....
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
...
security-zone untrust {
interfaces {
fe-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pptp {
match {
source-address any;
destination-address any;
application junos-pptp;
}
then {
permit;
}
}
}
Si vous avez terminé la configuration de l’équipement, saisissez-le commit en mode de configuration.
Configuration d’un ensemble NAT statique
CLI configuration rapide
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI [edit] au niveau de la hiérarchie, commit puis entrez dans le mode de configuration.
set security nat static rule-set rs1 from zone trust set security nat static rule-set rs1 rule r1 match destination-address 30.5.2.120/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 10.5.1.120/32
Procédure étape par étape
L’exemple suivant vous oblige à naviguer dans différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.
Pour configurer un ensemble de règles NAT statiques:
Créez un ensemble de NAT statiques.
[edit security nat static rule-set rs1] user@host#set from zone trust
Définissez la règle de correspondance avec l’adresse de destination.
[edit security nat static rule-set rs1] user@host# set rule r1 match destination-address 30.5.2.120/32
Définissez l’NAT préfixe statique de l’équipement.
[edit security nat static rule-set rs1] user@host# set rule r1 then static-nat prefix 10.5.1.120/32
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone trust;
rule r1 {
match {
destination-address 30.5.2.120/32;
}
then {
static-nat {
prefix {
10.5.1.120/32;
}
}
}
}
}
}
Si vous avez terminé la configuration de l’équipement, saisissez-le commit en mode de configuration.
Configuration d’un pool NAT source et ensemble de règles
CLI configuration rapide
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI [edit] au niveau de la hiérarchie, commit puis entrez dans le mode de configuration.
set security nat source pool src-p1 address 30.5.1.120/32 set security nat source rule-set src-rs1 from zone trust set security nat source rule-set src-rs1 to zone untrust set security nat source rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32 set security nat source rule-set src-rs1 rule src-r1 match destination-address 10.5.2.120/32 set security nat source rule-set src-rs1 rule src-r1 then source-nat pool src-p1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer dans différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.
Pour configurer un pool NAT source et un ensemble de règles:
Créez un pool de NAT source.
[edit security nat source] user@host#set pool src-p1 address 30.5.1.120/32
Créez un ensemble NAT source.
[edit security nat source ] user@host# set rule-set src-rs1 from zone trust user@host# set rule-set src-rs1 to zone untrust
Configurez une règle qui correspond aux paquets et traduit l’adresse source en adresse dans la pool source.
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match source-address 20.5.1.120/32
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination en adresse dans la pool source.
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 match destination-address 10.5.2.120/32
Configurez un pool de NAT source dans la règle.
[edit security nat source] user@host# set rule-set src-rs1 rule src-r1 then source-nat pool src-p1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool src-p1 {
address {
30.5.1.120/32;
}
}
rule-set src-rs1 {
from zone trust;
to zone untrust;
rule src-r1 {
match {
source-address 20.5.1.120/32;
destination-address 10.5.2.120/32;
}
then {
source-nat {
pool {
src-p1;
}
}
}
}
}
Si vous avez terminé la configuration de l’équipement, saisissez-le commit en mode de configuration.
Configuration d’un pool NAT de destination et ensemble de règles
CLI configuration rapide
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI [edit] au niveau de la hiérarchie, commit puis entrez dans le mode de configuration.
set security nat destination pool des-p1 address 10.5.1.120/32 set security nat destination rule-set des-rs1 from zone trust set security nat destination rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32 set security nat destination rule-set des-rs1 rule des-r1 match destination-address 30.5.1.120/32 set security nat destination rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer dans différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.
Pour configurer une destination NAT pool et ensemble de règles:
Créez un pool de NAT de destination.
[edit security nat destination] user@host#set pool des-p1 address 10.5.1.120/32
Créez un ensemble NAT de destination.
[edit security nat destination] user@host# set rule-set des-rs1 from zone trust
Configurez une règle qui correspond aux paquets et traduit l’adresse source en adresse dans la pool.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match source-address 20.5.1.120/32
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination en adresse dans la pool.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 match destination-address 30.5.1.120/32
Configurez un pool de NAT source dans la règle.
[edit security nat destination] user@host# set rule-set des-rs1 rule des-r1 then destination-nat pool des-p1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.
[edit]
user@host# show security nat
destination {
pool des-p1 {
address {
10.5.1.120/32;
}
}
rule-set des-rs1 {
from zone trust;
rule des-r1 {
match {
source-address 20.5.1.120/32;
destination-address 30.5.1.120/32;
}
then {
destination-nat {
pool {
des-p1;
}
}
}
}
}
}
Si vous avez terminé la configuration de l’équipement, saisissez-le commit en mode de configuration.
Configuration des options de traçage des ALG PPTP
CLI configuration rapide
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI [edit] au niveau de la hiérarchie, commit puis entrez dans le mode de configuration.
set security alg pptp traceoptions flag all set security alg traceoptions file trace set security alg traceoptions file size 1g set security alg traceoptions level verbose
Procédure étape par étape
L’exemple suivant vous oblige à naviguer dans différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.
Pour configurer PPTP Options de traçabilité des ALG:
Activer les options de traçabilité des ALG PPTP.
[edit security alg] user@host#set pptp traceoptions flag all
Configurez un nom de fichier pour recevoir le résultat de l’opération de traçage.
[edit security alg] user@host#set traceoptions file trace
Indiquez la taille maximale du fichier de trace.
[edit security alg] user@host#set traceoptions file size 1g
Spécifiez le niveau de trace en sortie.
[edit security alg] user@host#set traceoptions level verbose
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la show security alg commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.
[edit]
user@host# show security alg
traceoptions {
file trace size 1g;
level verbose;
}
pptp traceoptions flag all;
Si vous avez terminé la configuration de l’équipement, saisissez-le commit en mode de configuration.
Vérification
Vérifier que la configuration fonctionne correctement.
- Vérification de la session de contrôle des ALG PPTP
- Vérifier les informations ppTP ALG Flow Gate
- Vérification des ALG PPTP
- Vérification du groupe PPTP Resource Manager
- Vérification des informations de ressources PPTP
Vérification de la session de contrôle des ALG PPTP
But
Vérifiez que la session de contrôle PPTP est créée et toutes les sessions de contrôle et de données PPTP sont créées.
Action
À partir du mode opérationnel, saisissez la show security flow session commande.
user@host>show security flow session SSession ID: 57, Policy name: pptp, Timeout: 1787 Resource information : PPTP ALG, 1, 0 In: 20.20.20.32/3905 --> 10.10.10.32/1723;tcp, If: ge-0/0/1.0 Pkts: 6, Bytes: 584 Out: 10.10.10.32/1723 --> 20.20.20.32/3905;tcp, If: fe-0/0/2.0 Pkts: 4, Bytes: 352 Session ID: 58, Policy name: pptp, Timeout: 1799 In: 20.20.20.32/0 --> 10.10.10.32/256;gre, If: ge-0/0/1.0 Out: 10.10.10.32/256 --> 20.20.20.32/65001;gre, If: fe-0/0/2.0 Session ID: 59, Policy name: pptp, Timeout: 1787 In: .10.10.10.32/0 --> 20.20.20.32/260;gre, If: ge-0/0/1.0 Out: 20.20.20.32/260 --> 10.10.10.32/65000;gre, If: fe-0/0/2.0
Sens
Session ID— Numéro qui identifie la session. Utilisez cet ID pour obtenir plus d’informations sur la session, telles que le nom de la stratégie ou le nombre de paquets entrer ou sortant.
Policy name—Nom de stratégie permettant le trafic.
In— Le flux entrant (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs, session TCP, et interface source de cette session est ge-0/0/1.0).
Out—Le flux inversé (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs, la session est TCP, et l’interface de destination de cette session est fe-0/0/2.0).
Vérifier les informations ppTP ALG Flow Gate
But
Vérifiez que la porte de flux est ouverte pour la connexion du canal de données TCP.
Action
À partir du mode opérationnel, saisissez la show security flow gate commande.
user@host>show security flow gate
Hole: 20.0.172.24-20.0.172.24/0-0->21.0.172.38-21.0.172.38/25750-25750
Translated: 2015::172:24/65000->2005::172:108/360
Protocol: gre
Application: PPTP ALG/69
Age: 118 seconds
Flags: 0x0080
Zone: trust
Reference count: 1
Resource: 12-1-1
Hole: 2005::172:108-0-0->2015::172:24-2432-2432
Translated: 21.0.172.38/65001->20.0.172.24/2432
Protocol: gre
Application: PPTP ALG/69
Age: 120 seconds
Flags: 0x8080
Zone: untrust
Reference count: 1
Resource: 12-1-2
Valid gates: 2
Pending gates: 0
Invalidated gates: 0
Gates in other states: 0
Total gates: 2
Vérification des ALG PPTP
But
Vérifiez que la ALG PPTP est activée.
Action
À partir du mode opérationnel, saisissez la show security alg status commande.
user@host>show security alg status ALG Status : PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Disabled
Sens
Le résultat indique l’état des ALG PPTP:
Activé: affiche la ALG PPTP activée.
Désactivé: indique que la ALG PPTP est désactivée.
Vérification du groupe PPTP Resource Manager
But
Vérifier le nombre total de groupes de responsables de ressources et de groupes actifs utilisés par les ALG PPTP.
Action
À partir du mode opérationnel, saisissez la show security resource-manager group active commande.
user@host>show security resource-manager group active
Group ID 1: Application - PPTP ALG
Total groups 19763, active groups 1
Vérification des informations de ressources PPTP
But
Vérifier le nombre total de ressources et de ressources actives utilisées par les ALG PPTP.
Action
À partir du mode opérationnel, saisissez la show security resource-manager resource active commande.
user@host>show security resource-manager resource active
Resource ID 2: Group ID - 1, Application - PPTP ALG
Resource ID 1: Group ID - 1, Application - PPTP ALG
Total Resources 93286, active resources 2