VPN basés sur le routage et les stratégies avec NAT-T
La traduction et la traversée d’adresses réseau (NAT-T) sont une méthode utilisée pour gérer les problèmes liés à la traduction d’adresses IP lorsque les données protégées par IPsec transitent par un équipement configuré avec NAT pour la traduction d’adresses.
Comprendre NAT-T
La traduction et la traversée d’adresses réseau (NAT-T) sont une méthode permettant de contourner les problèmes de traduction d’adresses IP rencontrés lorsque des données protégées par IPsec transitent par un périphérique NAT pour la traduction d’adresses. Toute modification de l’adressage IP, qui est la fonction de NAT, entraîne la suppression des paquets par IKE. Après avoir détecté un ou plusieurs périphériques NAT le long du chemin de données au cours des échanges de phase 1, NAT-T ajoute une couche d’encapsulation UDP (User Datagram Protocol) aux paquets IPsec afin qu’ils ne soient pas éliminés après la traduction de l’adresse. NAT-T encapsule à la fois le trafic IKE et ESP dans UDP avec le port 4500 utilisé à la fois comme port source et de destination. Étant donné que les périphériques NAT expirent les traductions UDP obsolètes, des messages keepalive sont nécessaires entre les homologues.
NAT-T est activé par défaut, vous devez donc utiliser l’instruction no-nat-traversal
au niveau de la [edit security ike gateway gateway-name
hiérarchie pour désactiver le NAT-T.
Il existe deux grandes catégories de NAT :
NAT statique, où il existe une relation un-à-un entre les adresses privées et publiques. Le NAT statique fonctionne aussi bien dans le sens entrant que dans le sens sortant.
NAT dynamique, où il existe une relation plusieurs-à-un ou plusieurs-à-plusieurs entre les adresses privées et publiques. Le NAT dynamique fonctionne uniquement dans le sens sortant.
L’emplacement d’un périphérique NAT peut être tel que :
Seul l’initiateur IKEv1 ou IKEv2 se trouve derrière un périphérique NAT. Plusieurs initiateurs peuvent se trouver derrière des périphériques NAT distincts. Les initiateurs peuvent également se connecter au répondeur par le biais de plusieurs périphériques NAT.
Seul le répondeur IKEv1 ou IKEv2 se trouve derrière un périphérique NAT.
L’initiateur IKEv1 ou IKEv2 et le répondeur se trouvent tous deux derrière un périphérique NAT.
Le VPN de point de terminaison dynamique couvre la situation où l’adresse IKE externe de l’initiateur n’est pas fixe et n’est donc pas connue du répondeur. Cela peut se produire lorsque l’adresse de l’initiateur est attribuée dynamiquement par un FAI ou lorsque la connexion de l’initiateur traverse un périphérique NAT dynamique qui alloue des adresses à partir d’un pool d’adresses dynamiques.
Des exemples de configuration de NAT-T sont fournis pour la topologie dans laquelle seul le répondeur se trouve derrière un périphérique NAT et la topologie dans laquelle l’initiateur et le répondeur sont derrière un périphérique NAT. La configuration de la passerelle IKE de site à site pour NAT-T est prise en charge à la fois par l’initiateur et le répondeur. Un ID IKE distant est utilisé pour valider l’ID IKE local d’un homologue au cours de la phase 1 de la négociation de tunnel IKE. L’initiateur et le répondant ont tous deux besoin d’un local-identity
et d’un remote-identity
paramètre.
Sur les appareils SRX5400, SRX5600 et SRX5800, les problèmes de mise à l’échelle et de maintien du tunnel IPsec NAT-T sont les suivants :
Pour une adresse IP privée donnée, le périphérique NAT doit traduire les ports privés 500 et 4500 vers la même adresse IP publique.
Le nombre total de tunnels à partir d’une adresse IP traduite publique donnée ne peut pas dépasser 1000 tunnels.
À partir de Junos OS version 19.2R1, le mode d’alimentation IPSec (PMI) pour NAT-T est pris en charge uniquement sur les équipements SRX5400, SRX5600 et SRX5800 équipés de la carte de traitement des services (SPC) SRX5K-SPC3 ou d’un Pare-feu virtuel vSRX.
Voir également
Exemple : Configuration d’un VPN basé sur le routage avec le répondeur behind a NAT Device
Cet exemple montre comment configurer un VPN basé sur le routage avec un répondeur derrière un périphérique NAT entre une succursale et le siège social.
Conditions préalables
Avant de commencer, lisez Présentation d’IPsec.
Présentation
Dans cet exemple, vous allez configurer un VPN basé sur le routage. Host1 utilisera le VPN pour se connecter à son siège social sur SRX2.
Figure 1 montre un exemple de topologie pour un VPN basé sur le routage avec seulement le répondeur derrière un périphérique NAT.
Dans cet exemple, vous configurez les interfaces, IPsec et les stratégies de sécurité pour un initiateur dans SRX1 et un répondeur dans SRX2. Ensuite, vous configurez les paramètres IKE Phase 1 et IPsec Phase 2.
SRX1 envoie des paquets dont l’adresse de destination est 1 72,1 6.2 1.1 pour établir le VPN. Le périphérique NAT convertitl’adresse de destination en 10.1.31.1.
Consultez Tableau 1 les paramètres de configuration spécifiques utilisés pour l’initiateur dans les Tableau 3 exemples.
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Interfaces |
ge-0/0/1 |
1 72.Débloquer le niveau 16.11.1/24 |
GE-0/0/0 |
10.1.1 1.1/24 |
|
st0. 0 (interface de tunnel) |
10.1.100.1/24 |
|
Routes statiques |
10.1.2 1,0/24 |
Le saut suivant est st0.0. |
1 72,1 6.2 1,1/32 |
Le saut suivant est 172.Débloquer le niveau 16.11.2. |
|
Zones de sécurité |
Untrust |
|
confiance |
|
|
Stratégies de sécurité |
vers-SRX2 |
Autoriser le trafic à partir de 10.1.1 1.de 0/24 dans la zone de confiance à 10,1.2 1.0/24 dans la zone de méfiance. |
à partir de-SRX2 |
Autoriser le trafic à partir de 10.1.2 1.0/24 dans la zone de défiance à 10.1.1 1.0/24 dans la zone de confiance. |
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
ike_prop |
|
Politique |
ike_pol |
|
Passerelle |
gw1 |
|
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
ipsec_prop |
|
Politique |
ipsec_pol |
|
VPN |
vpn1 |
|
Consultez Tableau 4 les Tableau 6 paramètres de configuration spécifiques utilisés pour le répondeur dans les exemples.
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Interfaces |
GE-0/0/1 |
10.1.3 1.1/24 |
GE-0/0/0 |
10.1.2 1.1/24 |
|
st0. 0 (interface de tunnel) |
1 0.1.1 00.2/24 |
|
Routes statiques |
Débloquer le niveau 172.Débloquer le niveau 16.Débloquer le niveau 11.1/32 |
Le saut suivant est 1 0.1.3 1.2. |
10.1.1 1.0/24 |
Le saut suivant est st0.0. |
|
Zones de sécurité |
Untrust |
|
confiance |
|
|
Stratégies de sécurité |
to-SRX1 |
Autoriser le trafic à partir de 10.1.2 1.de 0/24 dans la zone de confiance à 10,1.1 1.0/24 dans la zone de méfiance. |
de-SRX1 |
Autoriser le trafic à partir de 10.1.1 1.De 0/24 dans la zone de méfiance à 10,1.2 1.0/24 dans la zone de confiance. |
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
ike_prop |
|
Politique |
ike_pol |
|
Passerelle |
GW1 |
|
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
ipsec_prop |
|
Politique |
ipsec_pol |
|
VPN |
VPN1 |
|
Configuration
- Configuration de l’interface, des options de routage et des paramètres de sécurité pour SRX1
- Configuration d’IKE pour SRX1
- Configuration d’IPsec pour SRX1
- Configuration des interfaces, des options de routage et des paramètres de sécurité pour SRX2
- Configuration d’IKE pour SRX2
- Configuration d’IPsec pour SRX2
- Configuration de l’équipement NAT
Configuration de l’interface, des options de routage et des paramètres de sécurité pour SRX1
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security address-book book1 address Host1 10.1.11.0/24 set security address-book book1 attach zone trust set security address-book book2 address Host2 10.1.21.0/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-SRX2 match source-address Host1 set security policies from-zone trust to-zone untrust policy to-SRX2 match destination-address Host2 set security policies from-zone trust to-zone untrust policy to-SRX2 match application any set security policies from-zone trust to-zone untrust policy to-SRX2 then permit set security policies from-zone untrust to-zone trust policy from-SRX2 match source-address Host2 set security policies from-zone untrust to-zone trust policy from-SRX2 match destination-address Host1 set security policies from-zone untrust to-zone trust policy from-SRX2 match application any set security policies from-zone untrust to-zone trust policy from-SRX2 then permit set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.1.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.11.1/24 set interfaces st0 unit 0 family inet address 10.1.100.1/24 set routing-options static route 10.1.21.0/24 next-hop st0.0 set routing-options static route 172.16.21.1/32 next-hop 172.16.11.2
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les interfacess, les routesstatiques et les paramètres de sécurité :
-
Configurez les interfacesconnectées à Internet, Host1 et l’interface utilisée pour le VPN.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.1.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.11.1/24 user@SRX1# set interfaces st0 unit 0 family inet address 10.1.100.1/24
-
Configurez des routes statiques pour que le trafic qui utilisera le VPN et pour que SRX1 atteigne le périphérique NAT.
[edit] user@SRX1# set routing-options static route 10.1.21.0/24 next-hop st0.0 user@SRX1# set routing-options static route 172.16.21.1/32 next-hop 172.16.11.2
-
Configurez la zone de sécurité untrust.
[edit] user@SRX1# set security zones security-zone untrust host-inbound-traffic system-services ike user@SRX1# set security zones security-zone untrust host-inbound-traffic system-services ping user@SRX1# set security zones security-zone untrust interfaces st0.0 user@SRX1# set security zones security-zone untrust interfaces ge-0/0/1.0
-
Configurez la zone de sécurité de confiance.
[edit] user@SRX1# set security zones security-zone trust host-inbound-traffic system-services all user@SRX1# set security zones security-zone trust host-inbound-traffic protocols all user@SRX1# set security zones security-zone trust interfaces ge-0/0/0.0
-
Configurez les carnets d’adresses pour les réseaux utilisés dans les stratégies de sécurité.
[edit] user@SRX1# set security address-book book1 address Host1 10.1.11.0/24 user@SRX1# set security address-book book1 attach zone trust user@SRX1# set security address-book book2 address Host2 10.1.21.0/24 user@SRX1# set security address-book book2 attach zone untrust
-
Créez des stratégies de sécurité pour autoriser le trafic entre les hôtes.
[edit] user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match source-address Host1 user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match destination-address Host2 user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match application any user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 then permit user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match source-address Host2 user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match destination-address Host1 user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match application any user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfaces
commandes , show routing-options
et show security
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@SRX1# show interfaces ge-0/0/0 { unit 0 { family inet { address 10.1.11.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 172.16.11.1/24; } } } st0 { unit 0 { family inet { address 10.1.100.1/24; } } }
[edit] user@SRX1# show routing-options static { route 10.1.21.0/24 next-hop st0.0; route 172.16.21.1/32 next-hop 172.16.11.2; }
[edit] user@SRX1# show security address-book { book1 { address Host1 10.1.11.0/24; attach { zone trust; } } book2 { address Host2 10.1.21.0/24; attach { zone untrust; } } } policies { from-zone trust to-zone untrust { policy to-SRX2 { match { source-address Host1; destination-address Host2; application any; } then { permit; } } } from-zone untrust to-zone trust { policy from-SRX2 { match { source-address Host2; destination-address Host1; application any; } then { permit; } } } } zones { security-zone untrust { host-inbound-traffic { system-services { ike; ping; } } interfaces { st0.0; ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration d’IKE pour SRX1
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 172.16.21.1 set security ike gateway gw1 local-identity user-at-hostname "srx1@example.com" set security ike gateway gw1 remote-identity user-at-hostname "srx2@example.com" set security ike gateway gw1 external-interface ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer l’IKE :
-
Créez une proposition IKE Phase 1.
[edit] user@SRX1# set security ike proposal ike_prop authentication-method pre-shared-keys user@SRX1# set security ike proposal ike_prop dh-group group2 user@SRX1# set security ike proposal ike_prop authentication-algorithm sha1 user@SRX1# set security ike proposal ike_prop encryption-algorithm 3des-cbc
-
Créez une stratégie IKE Phase 1.
[edit] user@SRX1# set security ike policy ike_pol mode main user@SRX1# set security ike policy ike_pol proposals ike_prop user@SRX1# set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
-
Configurez les paramètres de la passerelle IKE Phase 1. L’adresse de la passerelle doit être l’adresse IP du périphérique NAT.
[edit security ike gateway gw1] user@SRX1# set security ike gateway gw1 ike-policy ike_pol user@SRX1# set security ike gateway gw1 address 172.16.21.1 user@SRX1# set security ike gateway gw1 local-identity user-at-hostname "srx1@example.com" user@SRX1# set security ike gateway gw1 remote-identity user-at-hostname "srx2@example.com" user@SRX1# set security ike gateway gw1 external-interface ge-0/0/1.0
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ike
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@SRX1# show security ike proposal ike_prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy ike_pol { mode main; proposals ike_prop; pre-shared-key ascii-text “$9$xPn7-VwsgaJUHqp01IcSs2g”; ## SECRET-DATA } gateway gw1 { ike-policy ike_pol; address 172.16.21.1; local-identity user-at-hostname "srx1@example.com"; remote-identity user-at-hostname "srx2@example.com"; external-interface ge-0/0/1.0; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration d’IPsec pour SRX1
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer IPsec :
-
Créez une proposition IPsec Phase 2.
[edit] user@SRX1# set security ipsec proposal ipsec_prop protocol esp user@SRX1# set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 user@SRX1# set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc
-
Créez la stratégie IPsec Phase 2.
[edit] user@SRX1# set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 user@SRX1# set security ipsec policy ipsec_pol proposals ipsec_prop
-
Configurez les paramètres VPN IPsec.
[edit] user@SRX1# set security ipsec vpn vpn1 bind-interface st0.0 user@SRX1# set security ipsec vpn vpn1 ike gateway gw1 user@SRX1# set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol user@SRX1# set security ipsec vpn vpn1 establish-tunnels immediately
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@SRX1# show security ipsec proposal ipsec_prop { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec_pol { perfect-forward-secrecy { keys group2; } proposals ipsec_prop; } vpn vpn1 { bind-interface st0.0; ike { gateway gw1; ipsec-policy ipsec_pol; } establish-tunnels immediately; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration des interfaces, des options de routage et des paramètres de sécurité pour SRX2
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security address-book book1 address Host2 10.1.21.0/24 set security address-book book1 attach zone trust set security address-book book2 address Host1 10.1.11.0/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-SRX1 match source-address Host2 set security policies from-zone trust to-zone untrust policy to-SRX1 match destination-address Host1 set security policies from-zone trust to-zone untrust policy to-SRX1 match application any set security policies from-zone trust to-zone untrust policy to-SRX1 then permit set security policies from-zone untrust to-zone trust policy from-SRX1 match source-address Host1 set security policies from-zone untrust to-zone trust policy from-SRX1 match destination-address Host2 set security policies from-zone untrust to-zone trust policy from-SRX1 match application any set security policies from-zone untrust to-zone trust policy from-SRX1 then permit set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.1.21.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.1/24 set interfaces st0 unit 0 family inet address 10.1.100.2/24 set routing-options static route 172.16.11.1/32 next-hop 10.1.31.2 set routing-options static route 10.1.11.0/24 next-hop st0.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les interfacess, les routesstatiques et les paramètres de sécurité :
-
Configurez les interfaces connectées à Internet, Host2 et l’interface utilisée pour le VPN.
[edit] user@SRX2# set interfaces ge-0/0/0 unit 0 family inet address 10.1.21.1/24 user@SRX2# set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.1/24 user@SRX2# set interfaces st0 unit 0 family inet address 10.1.100.2/24
-
Configurez des routes statiques pour que le trafic qui utilisera le VPN et pour que SRX2 atteigne SRX1.
[edit] user@SRX2# set routing-options static route 172.16.11.1/32 next-hop 10.1.31.2 user@SRX2# set routing-options static route 10.1.11.0/24 next-hop st0.0
-
Configurez la zone de sécurité untrust.
[edit] user@SRX2# set security zones security-zone untrust host-inbound-traffic system-services ike user@SRX2# set security zones security-zone untrust host-inbound-traffic system-services ping user@SRX2# set security zones security-zone untrust interfaces ge-0/0/1.0 user@SRX2# set security zones security-zone untrust interfaces st0.0
-
Configurez la zone de sécurité de confiance.
[edit] user@SRX2# set security zones security-zone trust host-inbound-traffic system-services all user@SRX2# set security zones security-zone trust host-inbound-traffic protocols all user@SRX2# set security zones security-zone trust interfaces ge-0/0/0.0
-
Configurez les carnets d’adresses pour les réseaux utilisés dans les stratégies de sécurité.
[edit] user@SRX2# set security address-book book1 address Host2 10.1.21.0/24 user@SRX2# set security address-book book1 attach zone trust user@SRX2# set security address-book book2 address Host1 10.1.11.0/24 user@SRX2# set security address-book book2 attach zone untrust
-
Créez des stratégies de sécurité pour autoriser le trafic entre les hôtes.
[edit] user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match source-address Host2 user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match destination-address Host1 user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match application any user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 then permit user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match source-address Host1 user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match destination-address Host2 user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match application any user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show interfaces
, show routing-options
, et show security
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@SRX2# show interfaces ge-0/0/0 { unit 0 { family inet { address 10.1.21.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 10.1.31.1/24; } } } st0 { unit 0 { family inet { address 10.1.100.2/24; } } }
[edit] user@SRX2# show routing-options static { route 172.16.11.1/32 next-hop 10.1.31.2; route 10.1.11.0/24 next-hop st0.0; }
[edit] user@SRX2# show security address-book { book1 { address Host2 10.1.21.0/24; attach { zone trust; } } book2 { address Host1 10.1.11.0/24; attach { zone untrust; } } } policies { from-zone trust to-zone untrust { policy to-SRX1 { match { source-address Host2; destination-address Host1; application any; } then { permit; } } } from-zone untrust to-zone trust { policy from-SRX1 { match { source-address Host1; destination-address Host2; application any; } then { permit; } } } } zones { security-zone untrust { host-inbound-traffic { system-services { ike; ping; } } interfaces { ge-0/0/1.0; st0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration d’IKE pour SRX2
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 172.16.11.1 set security ike gateway gw1 local-identity user-at-hostname "srx2@example.com" set security ike gateway gw1 remote-identity user-at-hostname "srx1@example.com" set security ike gateway gw1 external-interface ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer l’IKE :
-
Créez une proposition IKE Phase 1.
[edit] user@SRX2# set security ike proposal ike_prop authentication-method pre-shared-keys user@SRX2# set security ike proposal ike_prop dh-group group2 user@SRX2# set security ike proposal ike_prop authentication-algorithm sha1 user@SRX2# set security ike proposal ike_prop encryption-algorithm 3des-cbc
-
Créez une stratégie IKE Phase 1.
[edit] user@SRX2# set security ike policy ike_pol mode main user@SRX2# set security ike policy ike_pol proposals ike_prop user@SRX2# set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
-
Configurez les paramètres de la passerelle IKE Phase 1. L’adresse de la passerelle doit être l’adresse IP de SRX1.
[edit] user@SRX2# set security ike gateway gw1 ike-policy ike_pol user@SRX2# set security ike gateway gw1 address 172.16.11.1 user@SRX2# set security ike gateway gw1 local-identity user-at-hostname "srx2@example.com" user@SRX2# set security ike gateway gw1 remote-identity user-at-hostname "srx1@example.com" user@SRX2# set security ike gateway gw1 external-interface ge-0/0/1.0
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ike
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@SRX2# show security ike proposal ike_prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy ike_pol { mode main; proposals ike_prop; pre-shared-key ascii-text "$9$mP5QF3/At0IE-VsYoa36/"; ## SECRET-DATA } gateway gw1 { ike-policy ike_pol; address 172.16.11.1; local-identity user-at-hostname "srx2@example.com"; remote-identity user-at-hostname "srx1@example.com"; external-interface ge-0/0/1.0; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration d’IPsec pour SRX2
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer IPsec :
-
Créez une proposition IPsec Phase 2.
[edit] user@SRX2# set security ipsec proposal ipsec_prop protocol esp user@SRX2# set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 user@SRX2# set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc
-
Créez la stratégie IPsec Phase 2.
[edit] user@SRX2# set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 user@SRX2# set security ipsec policy ipsec_pol proposals ipsec_prop
-
Configurez les paramètres VPN IPsec .
[edit] user@SRX2# set security ipsec vpn vpn1 bind-interface st0.0 user@SRX2# set security ipsec vpn vpn1 ike gateway gw1 user@SRX2# set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol user@SRX2# set security ipsec vpn vpn1 establish-tunnels immediately
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@SRX2# show security ipsec proposal ipsec_prop { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec_pol { perfect-forward-secrecy { keys group2; } proposals ipsec_prop; } vpn vpn1 { bind-interface st0.0; ike { gateway gw1; ipsec-policy ipsec_pol; } establish-tunnels immediately; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de l’équipement NAT
Configuration rapide de l’interface de ligne de commande
Le NAT statique est utilisé dans l’exemple. Le NAT statique est bidirectionnel, ce qui signifie que le trafic de la version 10.1.31.1 à la version 172.16.11.1 utilisera également la même configuration NAT.
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security nat static rule-set rule1 from zone untrust set security nat static rule-set rule1 rule ipsec match source-address 172.16.11.1/32 set security nat static rule-set rule1 rule ipsec match destination-address 172.16.21.1/32 set security nat static rule-set rule1 rule ipsec then static-nat prefix 10.1.31.1/32 set security policies from-zone trust to-zone untrust policy allow-out match source-address any set security policies from-zone trust to-zone untrust policy allow-out match destination-address any set security policies from-zone trust to-zone untrust policy allow-out match application any set security policies from-zone trust to-zone untrust policy allow-out then permit set security policies from-zone untrust to-zone trust policy allow-out-in match source-address any set security policies from-zone untrust to-zone trust policy allow-out-in match destination-address any set security policies from-zone untrust to-zone trust policy allow-out-in match application any set security policies from-zone untrust to-zone trust policy allow-out-in then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 172.16.21.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.2/24 set routing-options static route 172.16.11.0/24 next-hop 172.16.21.2
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de l’état IKE Phase 1 sur SRX1
- Vérification des associations de sécurité IPsec sur SRX1
- Vérification de l’état IKE Phase 1 sur SRX2
- Vérification des associations de sécurité IPsec sur SRX2
- Vérification de l’accessibilité d’hôte à hôte
Vérification de l’état IKE Phase 1 sur SRX1
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
À partir du mode opérationnel, entrez la show security ike security-associations commande. Pour une sortie plus détaillée, utilisez la show security ike security-associations detail commande.
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 302301 UP 84e8fc61d0750278 ea9a07ef032805b6 Main 172.16.21.1
user@SRX1> show security ike security-associations detail IKE peer 172.16.21.1, Index 302301, Gateway Name: gw1 Role: Initiator, State: UP Initiator cookie: 84e8fc61d0750278, Responder cookie: ea9a07ef032805b6 Exchange type: Main, Authentication method: Pre-shared-keys Local: 172.16.11.1:4500, Remote: 172.16.21.1:4500 Lifetime: Expires in 19657 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: srx2@example.com AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1780 Output bytes : 2352 Input packets: 7 Output packets: 14 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 4 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 172.16.11.1:4500, Remote: 172.16.21.1:4500 Local identity: srx1@example.com Remote identity: srx2@example.com Flags: IKE SA is created
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration.
Si des SA sont répertoriées, vérifiez les informations suivantes :
-
Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la commande pour obtenir plus d’informations sur la
show security ike security-associations index detail
SA. -
Remote address (Adresse distante) : vérifiez que l’adresse IP distante est correcte et que le port 4500 est utilisé pour la communication peer-to-peer. N’oubliez pas que NAT-T encapsule à la fois le trafic IKE et ESP dans UDP avec le port 4500.
-
État de l’initiateur du rôle
-
Up (Up) : l’SA de phase 1 est établie.
-
Vers le bas : un problème est survenu lors de l’établissement de la phase 1 de l’AS
-
Les deux homologues de la paire SA IPsec utilisent le port 4500.
-
Peer IKE ID : vérifiez que l’adresse distante est correcte.
-
Identité locale et identité distante : vérifiez qu’elles sont correctes.
-
-
Mode (Mode) : vérifiez que le mode approprié est utilisé.
Vérifiez que les éléments suivants sont corrects dans votre configuration :
-
Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE)
-
Paramètres de stratégie IKE
-
Informations clés prépartagées
-
Paramètres de la proposition de la phase 1 (doivent correspondre sur les deux pairs)
La show security ike security-associations
commande répertorie des informations supplémentaires sur les associations de sécurité :
-
Algorithmes d’authentification et de chiffrement utilisés
-
Durée de vie de la phase 1
-
Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic est fluide dans les deux sens)
-
Informations sur le rôle
Le dépannage est mieux effectué sur l’homologue à l’aide du rôle de répondeur.
-
Informations sur l’initiateur et le répondant
-
Nombre de SA IPsec créées
-
Nombre de négociations de phase 2 en cours
Vérification des associations de sécurité IPsec sur SRX1
But
Vérifiez l’état IPsec.
Action
À partir du mode opérationnel, entrez la show security ipsec security-associations commande. Pour une sortie plus détaillée, utilisez la show security ipsec security-associations detail commande.
user@SRX1> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 fc5dbac4 2160/ unlim - root 4500 172.16.21.1 >131073 ESP:3des/sha1 45fed9d8 2160/ unlim - root 4500 172.16.21.1
user@SRX1> show security ipsec security-associations detail ID: 131073 Virtual-system: root, VPN Name: vpn1 Local Gateway: 172.16.11.1, Remote Gateway: 172.16.21.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0 Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600a29 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Fri Jul 22 2022 11:07:40 -0700: IPSec SA rekey successfully completed (3 times) Fri Jul 22 2022 08:38:41 -0700: IPSec SA negotiation successfully completed (1 times) Fri Jul 22 2022 08:38:41 -0700: User cleared IPSec SA from CLI (1 times) Fri Jul 22 2022 08:38:41 -0700: IKE SA negotiation successfully completed (3 times) Fri Jul 22 2022 08:38:26 -0700: IPSec SA negotiation successfully completed (1 times) Fri Jul 22 2022 08:38:26 -0700: User cleared IPSec SA from CLI (1 times) Fri Jul 22 2022 08:38:25 -0700: IPSec SA negotiation successfully completed (1 times) Fri Jul 22 2022 08:38:24 -0700: User cleared IPSec SA from CLI (1 times) Fri Jul 22 2022 08:37:37 -0700: IPSec SA negotiation successfully completed (1 times) Direction: inbound, SPI: fc5dbac4, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 2153 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1532 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 45fed9d8, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 2153 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1532 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
Sens
La sortie de la show security ipsec security-associations
commande répertorie les informations suivantes :
-
L’adresse n de la passerelle distante est172.1 6. 2 1.1.
-
Les deux homologues de la paire SA IPsec utilisent le port 4500.
-
Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux sens. La valeur 2 160/ unlim indique que la durée de vie de la phase 2 expire dans 2160 secondes et qu’aucune durée de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 une fois le VPN activé.
-
La surveillance VPN n’est pas activée pour cette SA, comme l’indique un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U indique que la surveillance est activée et D indique que la surveillance est inactive.
-
Le système virtuel (vsys) est le système racine, et il indique toujours 0.
Vérification de l’état IKE Phase 1 sur SRX2
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
À partir du mode opérationnel, entrez la show security ike security-associations commande. Pour une sortie plus détaillée, utilisez la show security ike security-associations detail commande.
user@SRX2> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5567091 UP 84e8fc61d0750278 ea9a07ef032805b6 Main 172.16.11.1
user@SRX2> show security ike security-associations detail IKE peer 172.16.11.1, Index 5567091, Gateway Name: gw1 Role: Responder, State: UP Initiator cookie: 84e8fc61d0750278, Responder cookie: ea9a07ef032805b6 Exchange type: Main, Authentication method: Pre-shared-keys Local: 10.1.31.1:4500, Remote: 172.16.11.1:4500 Lifetime: Expires in 18028 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: srx1@example.com AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 2352 Output bytes : 1780 Input packets: 14 Output packets: 7 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 4 created, 3 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 10.1.31.1:4500, Remote: 172.16.11.1:4500 Local identity: srx2@example.com Remote identity: srx1@example.com Flags: IKE SA is created
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration.
Si des SA sont répertoriées, vérifiez les informations suivantes :
-
Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la commande pour obtenir plus d’informations sur la
show security ike security-associations detail
SA. -
Remote address (Adresse distante) : vérifiez que l’adresse IP distante est correcte et que le port 4500 est utilisé pour la communication peer-to-peer.
-
État du répondeur de rôle
-
Vers le haut : l’AS de phase 1 a été établie.
-
Vers le bas : un problème est survenu lors de l’établissement de la phase 1 de l’AS
-
Peer IKE ID : vérifiez que l’adresse est correcte.
-
Identité locale et identité distante : vérifiez que ces adresses sont correctes.
-
-
Mode (Mode) : vérifiez que le mode approprié est utilisé.
Vérifiez que les éléments suivants sont corrects dans votre configuration :
-
Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE)
-
Paramètres de stratégie IKE
-
Informations clés prépartagées
-
Paramètres de la proposition de la phase 1 (doivent correspondre sur les deux pairs)
La show security ike security-associations
commande répertorie des informations supplémentaires sur les associations de sécurité :
-
Algorithmes d’authentification et de chiffrement utilisés
-
Durée de vie de la phase 1
-
Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic est fluide dans les deux sens)
-
Informations sur le rôle
Le dépannage est mieux effectué sur l’homologue à l’aide du rôle de répondeur.
-
Informations sur l’initiateur et le répondant
-
Nombre de SA IPsec créées
-
Nombre de négociations de phase 2 en cours
Vérification des associations de sécurité IPsec sur SRX2
But
Vérifiez l’état IPsec.
Action
À partir du mode opérationnel, entrez la show security ipsec security-associations commande. Pour une sortie plus détaillée, utilisez la show security ipsec security-associations detail commande.
user@SRX2> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 45fed9d8 1526/ unlim - root 4500 172.16.11.1 >131073 ESP:3des/sha1 fc5dbac4 1526/ unlim - root 4500 172.16.11.1
user@SRX2> show security ipsec security-associations detail ID: 131073 Virtual-system: root, VPN Name: vpn1 Local Gateway: 10.1.31.1, Remote Gateway: 172.16.11.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0 Port: 4500, Nego#: 25, Fail#: 0, Def-Del#: 0 Flag: 0x600a29 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Fri Jul 22 2022 11:07:40 -0700: IPSec SA negotiation successfully completed (4 times) Fri Jul 22 2022 08:38:41 -0700: Initial-Contact received from peer. Stale IKE/IPSec SAs cleared (1 times) Fri Jul 22 2022 08:38:41 -0700: IKE SA negotiation successfully completed (5 times) Fri Jul 22 2022 08:38:26 -0700: IPSec SA negotiation successfully completed (1 times) Fri Jul 22 2022 08:38:26 -0700: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Fri Jul 22 2022 08:38:25 -0700: IPSec SA negotiation successfully completed (1 times) Fri Jul 22 2022 08:38:25 -0700: Initial-Contact received from peer. Stale IKE/IPSec SAs cleared (1 times) Fri Jul 22 2022 08:37:37 -0700: IPSec SA negotiation successfully completed (1 times) Fri Jul 22 2022 08:37:37 -0700: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Thu Jul 21 2022 17:57:09 -0700: Peer's IKE-ID validation failed during negotiation (1 times) Thu Jul 21 2022 17:49:30 -0700: IKE SA negotiation successfully completed (4 times) Direction: inbound, SPI: 45fed9d8, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1461 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 885 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: fc5dbac4, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1461 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 885 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
Sens
La sortie de la show security ipsec security-associations
commande répertorie les informations suivantes :
-
L’adresse IP de la passerelle distante est 172.Débloquer le niveau 16.11.1.
-
Les deux homologues de la paire SA IPsec utilisent le port 4500.
-
Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux sens. La valeur 1562/ unlim indique que la durée de vie de la phase 2 expire dans 1562 secondes et qu’aucune taille de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 une fois le VPN activé.
-
La surveillance VPN n’est pas activée pour cette SA, comme l’indique un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U indique que la surveillance est activée et D indique que la surveillance est inactive.
-
Le système virtuel (vsys) est le système racine, et il indique toujours 0.
La sortie de la show security ipsec security-associations index index_iddetail
commande répertorie les informations suivantes :
-
L’identité locale et l’identité distante constituent l’ID de proxy de la SA.
Une incompatibilité d’ID de proxy est l’une des causes les plus courantes d’échec de phase 2. Si aucune SA IPsec n’est répertoriée, vérifiez que les propositions de phase 2, y compris les paramètres d’ID de proxy, sont correctes pour les deux homologues. Pour les VPN basés sur le routage, l’ID de proxy par défaut est local=0.0.0.0/0, remote=0.0.0.0/0 et service=any. Des problèmes peuvent survenir avec plusieurs VPN basés sur le routage à partir de la même adresse IP homologue. Dans ce cas, un ID de proxy unique doit être spécifié pour chaque SA IPsec. Pour certains fournisseurs tiers, l’ID de proxy doit être saisi manuellement pour correspondre.
-
Une autre raison fréquente de l’échec de la phase 2 est la non-spécification de la liaison d’interface ST. Si IPsec ne peut pas être terminé, vérifiez le journal kmd ou définissez les options de traçage.
Vérification de l’accessibilité d’hôte à hôte
But
Vérifiez que l’hôte1 peut atteindre l’hôte2.
Action
À partir de Host1, ping Host2. Pour vérifier que le trafic utilise le VPN, utilisez la commande show security ipsec statistics
sur SRX1. Effacez les statistiques à l’aide de la commande avant d’exécuter la commande clear security ipsec statistics
ping.
user@Host1> ping 10.1.21.2 count 10 rapid PING 10.1.21.2 (10.1.21.2): 56 data bytes !!!!!!!!!! --- 10.1.21.2 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.437/4.270/7.637/1.158 ms
user@SRX1> show security ipsec statistics ESP Statistics: Encrypted bytes: 1360 Decrypted bytes: 840 Encrypted packets: 10 Decrypted packets: 10 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Sens
Les sorties indiquent que Host1 peut envoyer un ping à Host2 et que le trafic utilise le VPN.
Exemple : Configuration d’un VPN basé sur des stratégies avec un initiateur et un répondeur derrière un périphérique NAT
Cet exemple montre comment configurer un VPN basé sur des stratégies avec un initiateur et un répondeur derrière un périphérique NAT pour permettre le transfert sécurisé des données entre une succursale et le siège social.
Conditions préalables
Avant de commencer, lisez Présentation d’IPsec.
Présentation
Dans cet exemple, vous configurez un VPN basé sur des stratégies pour une succursale à Chicago, dans l’Illinois, afin d’économiser les ressources du tunnel tout en obtenant des restrictions précises sur le trafic VPN. Les utilisateurs de la succursale utiliseront le VPN pour se connecter au siège social de leur entreprise à Sunnyvale, en Californie.
Dans cet exemple, vous configurez des interfaces, des options de routage, des zones de sécurité et des stratégies de sécurité pour un initiateur et un répondeur.
Figure 2 montre un exemple de topologie pour un VPN avec à la fois un initiateur et un répondeur derrière un périphérique NAT statique.
Dans cet exemple, vous configurez des interfaces, une route IPv4 par défaut et des zones de sécurité. Ensuite, vous configurez la phase 1 d’IKE, y compris les homologues locaux et distants, la phase 2 d’IPsec et la stratégie de sécurité. Notez que dans l’exemple ci-dessus, l’adresse IP privée du répondeur 13.168.11.1 est masquée par le périphérique NAT statique et mappée à l’adresse IP publique 1.1.100.1.
Consultez Tableau 7 les paramètres de configuration spécifiques utilisés pour l’initiateur dans les Tableau 10 exemples.
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Interfaces |
ge-0/0/0 |
12.168.99.100/24 |
ge-0/0/1 |
10.1.99.1/24 |
|
Routes statiques |
10.2.99.0/24 (route par défaut) |
Le saut suivant est 12.168.99.100. |
1.1.100.0/24 |
12.168.99.100 |
|
Zones de sécurité |
confiance |
|
Untrust |
|
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
ike_prop |
|
Politique |
ike_pol |
|
Passerelle |
Porte |
|
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
ipsec_prop |
|
Politique |
ipsec_pol |
|
VPN |
first_vpn |
|
But |
Nom |
Paramètres de configuration |
---|---|---|
La stratégie de sécurité autorise le trafic à tunneliser le trafic de la zone de confiance vers la zone de non-confiance. |
pol1 |
|
La stratégie de sécurité autorise le trafic à tunneliser la zone de non-confiance vers la zone de confiance. |
pol1 |
|
Consultez Tableau 11 les Tableau 14 paramètres de configuration spécifiques utilisés pour le répondeur dans les exemples.
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Interfaces |
ge-0/0/0 |
13.168.11.100/24 |
GE-0/0/1 |
10.2.99.1/24 |
|
Routes statiques |
10.1.99.0/24 (route par défaut) |
Le saut suivant est 13.168.11.100 |
1.1.100.0/24 |
13.168.11.100 |
|
Zones de sécurité |
confiance |
|
Untrust |
|
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
ike_prop |
|
Politique |
ike_pol |
|
Passerelle |
Porte |
|
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
ipsec_prop |
|
Politique |
ipsec_pol |
|
VPN |
first_vpn |
|
But |
Nom |
Paramètres de configuration |
---|---|---|
La stratégie de sécurité autorise le trafic à tunneliser le trafic de la zone de confiance vers la zone de non-confiance. |
pol1 |
|
La stratégie de sécurité autorise le trafic à tunneliser la zone de non-confiance vers la zone de confiance. |
pol1 |
|
Configuration
- Configuration de l’interface, des options de routage et des zones de sécurité pour l’initiateur
- Configuration d’IKE pour l’initiateur
- Configuration d’IPsec pour l’initiateur
- Configuration des stratégies de sécurité pour l’initiateur
- Configuration de NAT pour l’initiateur
- Configuration de l’interface, des options de routage et des zones de sécurité pour le répondeur
- Configuration d’IKE pour le répondeur
- Configuration d’IPsec pour le répondeur
- Configuration des stratégies de sécurité pour le répondeur
- Configuration de NAT pour le répondeur
Configuration de l’interface, des options de routage et des zones de sécurité pour l’initiateur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
[edit] set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24 set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/0.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les interfaces, les routes statiques et les zones de sécurité :
Configurez les informations de l’interface Ethernet.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24
Configurez les informations d’itinéraire statiques.
[edit] user@host# set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1
Configurez la zone de sécurité de confiance.
[edit ] user@host# set security zones security-zone trust host-inbound-traffic protocols all
Attribuez une interface à la zone de sécurité de confiance.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
Spécifiez les services système pour la zone de sécurité de confiance.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Attribuez une interface à la zone de sécurité untrust.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les commandes , et show security zones
Si la sortie n’affiche pas la configuration prévue, show routing-options
répétez les show interfaces
instructions de cet exemple pour corriger la configuration.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 12.168.99.100/24; } } } ge-0/0/1 { unit 0 { family inet { address 10.1.99.1/24; } } }
[edit] user@host# show routing-options static { route 10.2.99.0/24 next-hop 12.168.99.1; route 1.1.100.0/24 next-hop 12.168.99.1; }
[edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone untrust { host-inbound-traffic { } interfaces { ge-0/0/0.0; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration d’IKE pour l’initiateur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123” set security ike gateway gate ike-policy ike_pol set security ike gateway gate address 13.168.11.100 set security ike gateway gate external-interface ge-0/0/0.0 set security ike gateway gate local-identity hostname chicago
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer l’IKE :
Créez la proposition IKE Phase 1.
[edit security ike] user@host# edit proposal ike_prop
Définissez la méthode d’authentification de la proposition IKE.
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-keys
Définissez le groupe Diffie-Hellman de la proposition IKE.
[edit security ike proposal ike_prop] user@host# set dh-group group2
Définissez l’algorithme d’authentification de la proposition IKE.
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
Définissez l’algorithme de chiffrement de la proposition IKE.
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
Créez une stratégie IKE Phase 1.
[edit security ike policy ] user@host# edit policy ike_pol
Définissez le mode de stratégie IKE Phase 1.
[edit security ike policy ike_pol] user@host# set mode aggressive
Spécifiez une référence à la proposition IKE.
[edit security ike policy ike_pol] user@host# set proposals ike_prop
Définissez la méthode d’authentification de la stratégie IKE Phase 1.
[edit security ike policy ike_pol pre-shared-key] user@host# set ascii-text "$ABC123”
Créez une passerelle IKE Phase 1 et définissez son interface externe.
[edit security ike ] user@host# set gateway gate external-interface ge-0/0/0.0
Créez une adresse de passerelle IKE Phase 1.
[edit security ike gateway gate] set address 13.168.11.100
Définissez la référence de stratégie IKE Phase 1.
[edit security ike gateway gate] set ike-policy ike_pol
Défini
local-identity
pour l’homologue local.[edit security ike gateway gate] user@host# set local-identity hostname chicago
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ike
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show security ike proposal ike_prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm md5; encryption-algorithm 3des-cbc; } policy ike_pol { mode aggressive; proposals ike_prop; pre-shared-key ascii-text "$ABC123” } gateway gate { ike-policy ike_pol; address 13.168.11.100; local-identity hostname chicago; external-interface ge-0/0/0.0; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration d’IPsec pour l’initiateur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol set security ipsec vpn first_vpn establish-tunnels immediately
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer IPsec :
Créez une proposition IPsec Phase 2.
[edit] user@host# edit security ipsec proposal ipsec_prop
Spécifiez le protocole de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
Spécifiez l’algorithme d’authentification de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
Spécifiez l’algorithme de chiffrement de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
Spécifiez la référence de proposition IPsec Phase 2.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Spécifiez IPsec Phase 2 pour utiliser la confidentialité persistante (PFS) du groupe1.
[edit security ipsec policy ipsec_pol ] user@host# set perfect-forward-secrecy keys group1
Spécifiez la passerelle IKE.
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
Spécifiez la stratégie IPsec Phase 2.
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show security ipsec proposal ipsec_prop { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; } policy ipsec_pol { perfect-forward-secrecy { keys group1; } proposals ipsec_prop; } vpn first_vpn { ike { gateway gate; ipsec-policy ipsec_pol; } establish-tunnels immediately; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration des stratégies de sécurité pour l’initiateur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les politiques de sécurité :
Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone de méfiance.
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Créez la stratégie de sécurité pour autoriser le trafic de la zone d’approbation vers la zone de confiance.
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show security policies from-zone trust to-zone untrust { policy pol1 { match { source-address any; destination-address any; application any; } then { permit { tunnel { ipsec-vpn first_vpn; } } } } } from-zone untrust to-zone trust { policy pol1 { match { application any; } then { permit { tunnel { ipsec-vpn first_vpn; } } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de NAT pour l’initiateur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.23/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.22
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer l’initiateur fournissant NAT :
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 12.168.99.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.23/24
Configurez les zones.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
Configurez NAT.
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
Configurez l’option de routage.
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.22
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show security nat source { rule-set ipsec { from zone trust; to zone untrust; rule 1 { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy allow-all { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy allow-all { match { application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { } interfaces { ge-0/0/1.0; } } } } interfaces { ge-0/0/0 { unit 0 { family inet { address 12.168.99.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 1.1.100.23/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 1.1.100.22; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de l’interface, des options de routage et des zones de sécurité pour le répondeur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24 set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les interfaces, les routes statiques, les zones de sécurité et les stratégies de sécurité :
Configurez les informations de l’interface Ethernet.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24
Configurez les informations d’itinéraire statiques.
[edit] user@host# set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1
Attribuez une interface à la zone de sécurité untrust.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
Configurez la zone de sécurité de confiance.
[edit] user@host# set security zones security-zone trust host-inbound-traffic protocols all
Attribuez une interface à la zone de sécurité de confiance.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
Spécifiez les services système autorisés pour la zone de sécurité de confiance.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show interfaces
, show routing-options
et show security zones
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 13.168.11.100/24; } } } ge-0/0/1 { unit 0 { family inet { address 10.2.99.1/24; } } }
[edit] user@host# show routing-options static { route 10.1.99.0/24 next-hop 13.168.11.1; route 1.1.100.0/24 next-hop 13.168.11.1; }
[edit] user@host# show security zones security-zone untrust { host-inbound-traffic { } interfaces { ge-0/0/0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration d’IKE pour le répondeur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123" set security ike gateway gate ike-policy ike_pol set security ike gateway gate dynamic hostname chicago set security ike gateway gate external-interface ge-0/0/0.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer l’IKE :
Définissez la méthode d’authentification de la proposition IKE.
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-key
Définissez le groupe Diffie-Hellman de la proposition IKE.
[edit security ike proposal ike_prop] user@host# set dh-group group2
Définissez l’algorithme d’authentification de la proposition IKE.
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
Définissez l’algorithme de chiffrement de la proposition IKE.
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
Créez une stratégie IKE Phase 1.
[edit security ike] user@host# edit policy ike_pol
Définissez le mode de stratégie IKE Phase 1.
[edit security ike policy ike_pol] user@host# set mode aggressive
Spécifiez une référence à la proposition IKE.
[edit security ike policy ike_pol] user@host# set proposals ike_prop
Définissez la méthode d’authentification de la stratégie IKE Phase 1.
[edit security ike policy ike_pol] user@host# set pre-shared-key ascii-text "$ABC123"
Créez une passerelle IKE Phase 1 et définissez son nom d’hôte dynamique.
[edit security ike gateway gate] user@host# set dynamic hostname chicago
Créez une passerelle IKE Phase 1 et définissez son interface externe.
[edit security ike gateway gate] user@host# set external-interface ge-0/0/0.0
Définissez la référence de stratégie IKE Phase 1.
[edit security ike gateway gate] user@host# set ike-policy ike_pol
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ike
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show security ike proposal ike_prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm md5; encryption-algorithm 3des-cbc; } policy ike_pol { mode aggressive; proposals ike_prop; pre-shared-key ascii-text "$ABC123"; } gateway gate { ike-policy ike_pol; dynamic hostname chicago; external-interface ge-0/0/0.0; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration d’IPsec pour le répondeur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer IPsec :
Créez une proposition IPsec Phase 2.
[edit] user@host# edit security ipsec proposal ipsec_prop
Spécifiez le protocole de proposition IPsec Phase 2.
[edit security security ipsec proposal ipsec_prop] user@host# set protocol esp
Spécifiez l’algorithme d’authentification de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
Spécifiez l’algorithme de chiffrement de proposition IPsec Phase 2.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
Créez la stratégie IPsec Phase 2.
[edit security ipsec] user@host# edit policy ipsec_pol
Définissez IPsec Phase 2 pour utiliser le groupe PFS (Perfect Forward Secrecy )1.
[edit security ipsec policy ipsec_pol] user@host# set perfect-forward-secrecy keys group1
Spécifiez la référence de proposition IPsec Phase 2.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Spécifiez la passerelle IKE.
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
Spécifiez la stratégie IPsec Phase 2.
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show security ipsec proposal ipsec_prop { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; } policy ipsec_pol { perfect-forward-secrecy { keys group1; } proposals ipsec_prop; } vpn first_vpn { ike { gateway gate; ipsec-policy ipsec_pol; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration des stratégies de sécurité pour le répondeur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer les politiques de sécurité :
Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone de méfiance.
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Créez la stratégie de sécurité pour autoriser le trafic de la zone d’approbation vers la zone de confiance.
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show security policies from-zone trust to-zone untrust { policy pol1 { match { source-address any; destination-address any; application any; } then { permit { tunnel { ipsec-vpn first_vpn; } } } } } from-zone untrust to-zone trust { policy pol1 { match { application any; } then { permit { tunnel { ipsec-vpn first_vpn; } } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de NAT pour le répondeur
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.22/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.23
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer le répondeur fournissant NAT :
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 13.168.11.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.22/24
Configurez les zones.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
Configurez NAT.
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
Configurez l’option de routage.
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.23
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host# show security nat nat { source { rule-set ipsec { from zone trust; to zone untrust; rule 1 { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy allow-all { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy allow-all { match { application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { } interfaces { ge-0/0/1.0; } } } } interfaces { ge-0/0/0 { unit 0 { family inet { address 13.168.11.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 1.1.100.22/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 1.1.100.23; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de l’état IKE Phase 1 de l’initiateur
- Vérification des associations de sécurité IPsec pour l’initiateur
- Vérification de l’état IKE Phase 1 pour le répondeur
- Vérification des associations de sécurité IPsec pour le répondeur
Vérification de l’état IKE Phase 1 de l’initiateur
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
Avant de commencer le processus de vérification, vous devez envoyer le trafic d’un hôte du réseau 10.1.99.0 vers un hôte du réseau 10.2.99.0. Pour les VPN basés sur le routage, le trafic peut être initié par le pare-feu SRX Series via le tunnel. Lors du test des tunnels IPsec, il est recommandé d’envoyer le trafic de test d’un périphérique distinct d’un côté du VPN vers un second périphérique de l’autre côté du VPN. Par exemple, lancez une opération ping de 10.1.99.2 à 10.2.99.2.
À partir du mode opérationnel, entrez la show security ike security-associations
commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ike security-associations index index_number detail
commande.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5649304 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 13.168.11.
user@host> show security ike security-associations index 5649304 detail IKE peer 13.168.11.100, Index 5649304, Gateway Name: gate Role: Initiator, State: UP Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c Exchange type: Aggressive, Authentication method: Pre-shared-keys Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500 Lifetime: Expires in 26359 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: 13.168.11.100 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-md5-96 Encryption : 3des-cbc Pseudo random function: hmac-md5 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1140 Output bytes : 1203 Input packets: 6 Output packets: 6 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 2 created, 3 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500 Local identity: chicago Remote identity: 13.168.11.100 Flags: IKE SA is created
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration.
Si des SA sont répertoriées, vérifiez les informations suivantes :
Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la commande pour obtenir plus d’informations sur la
show security ike security-associations index detail
SA.Remote address (Adresse distante) : vérifiez que l’adresse IP distante est correcte et que le port 4500 est utilisé pour la communication peer-to-peer.
État de l’initiateur du rôle
Vers le haut : l’AS de phase 1 a été établie.
Vers le bas : un problème est survenu lors de l’établissement de la phase 1 de l’AS
Les deux homologues de la paire SA IPsec utilisent le port 4500, ce qui indique que NAT-T est implémenté. (NAT-T utilise le port 4500 ou un autre port aléatoire à numéro élevé.)
Peer IKE ID (ID IKE de l’homologue) : vérifiez que l’ID distant (répondeur) est correct. Dans cet exemple, le nom d’hôte est sunnyvale.
Identité locale et identité distante : vérifiez qu’elles sont correctes.
Mode (Mode) : vérifiez que le mode approprié est utilisé.
Vérifiez que les éléments suivants sont corrects dans votre configuration :
Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE)
Paramètres de stratégie IKE
Informations clés prépartagées
Paramètres de la proposition de la phase 1 (doivent correspondre sur les deux pairs)
La show security ike security-associations
commande répertorie des informations supplémentaires sur les associations de sécurité :
Algorithmes d’authentification et de chiffrement utilisés
Durée de vie de la phase 1
Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic est fluide dans les deux sens)
Informations sur le rôle
Le dépannage est mieux effectué sur l’homologue à l’aide du rôle de répondeur.
Informations sur l’initiateur et le répondant
Nombre de SA IPsec créées
Nombre de négociations de phase 2 en cours
Vérification des associations de sécurité IPsec pour l’initiateur
But
Vérifiez l’état IPsec.
Action
À partir du mode opérationnel, entrez la show security ipsec security-associations
commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ipsec security-associations index index_number detail
commande.
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/md5 aff3ac30 1103/ unlim - root 4500 13.168.11.100 >2 ESP:3des/md5 40539d12 1103/ unlim - root 4500 13.168.11.100
user@host> show security ipsec security-associations detail ID: 2 Virtual-system: root, VPN Name: first_vpn Local Gateway: 12.168.99.100, Remote Gateway: 13.168.11.100 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1 Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600829 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Wed Apr 08 2020 19:13:53: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 : IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Wed Apr 08 2020 19:13:09: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:13:09: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:13:09: IKE SA negotiation successfully completed (5 times) Wed Apr 08 2020 19:12:18: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:12:18: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:12:12: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:12:12: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:06:52: Peer's IKE-ID validation failed during negotiation (2 times) Wed Apr 08 2020 : Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (2 times) Wed Apr 08 2020 19:05:26: Peer's IKE-ID validation failed during negotiation (1 times) Wed Apr 08 2020 : Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times) Wed Apr 08 2020 19:04:26: Peer's IKE-ID validation failed during negotiation (1 times) Wed Apr 08 2020 : Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times) Wed Apr 08 2020 19:03:26: Peer's IKE-ID validation failed during negotiation (1 times) Direction: inbound, SPI: aff3ac30, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1093 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 453 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 40539d12, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1093 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 453 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
Sens
La sortie de la show security ipsec security-associations
commande répertorie les informations suivantes :
L’adresse NAT de la passerelle distante est 13.168.11.100.
Les deux homologues de la paire SA IPsec utilisent le port 4500, ce qui indique que NAT-T est implémenté. (NAT-T utilise le port 4500 ou un autre port aléatoire à numéro élevé.)
Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux sens. La valeur 3390/ unlimited indique que la durée de vie de la phase 2 expire dans 3390 secondes et qu’aucune taille de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 une fois le VPN activé.
La surveillance VPN n’est pas activée pour cette SA, comme l’indique un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U indique que la surveillance est activée et D indique que la surveillance est inactive.
Le système virtuel (vsys) est le système racine, et il indique toujours 0.
Vérification de l’état IKE Phase 1 pour le répondeur
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
À partir du mode opérationnel, entrez la show security ike security-associations
commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ike security-associations index index_number detail
commande.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2914355 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 1.1.100.23
user@host> show security ike security-associations index 2914355 detail IKE peer 1.1.100.23, Index 2914355, Gateway Name: gate Role: Responder, State: UP Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c Exchange type: Aggressive, Authentication method: Pre-shared-keys Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434 Lifetime: Expires in 26137 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: chicago AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-md5-96 Encryption : 3des-cbc Pseudo random function: hmac-md5 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1203 Output bytes : 1140 Input packets: 6 Output packets: 6 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434 Local identity: 13.168.11.100 Remote identity: chicago Flags: IKE SA is created
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration.
Si des SA sont répertoriées, vérifiez les informations suivantes :
Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la commande pour obtenir plus d’informations sur la
show security ike security-associations index detail
SA.Remote address (Adresse distante) : vérifiez que l’adresse IP distante est correcte et que le port 4500 est utilisé pour la communication peer-to-peer.
État du répondeur de rôle
Vers le haut : l’AS de phase 1 a été établie.
Vers le bas : un problème est survenu lors de l’établissement de la phase 1 de l’AS
Peer IKE ID (ID IKE de l’homologue) : vérifiez que l’ID local de l’homologue est correct. Dans cet exemple, le nom d’hôte est chicago.
Identité locale et identité distante : vérifiez qu’elles sont correctes.
Mode (Mode) : vérifiez que le mode approprié est utilisé.
Vérifiez que les éléments suivants sont corrects dans votre configuration :
Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE)
Paramètres de stratégie IKE
Informations clés prépartagées
Paramètres de la proposition de la phase 1 (doivent correspondre sur les deux pairs)
La show security ike security-associations
commande répertorie des informations supplémentaires sur les associations de sécurité :
Algorithmes d’authentification et de chiffrement utilisés
Durée de vie de la phase 1
Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic est fluide dans les deux sens)
Informations sur le rôle
Le dépannage est mieux effectué sur l’homologue à l’aide du rôle de répondeur.
Informations sur l’initiateur et le répondant
Nombre de SA IPsec créées
Nombre de négociations de phase 2 en cours
Vérification des associations de sécurité IPsec pour le répondeur
But
Vérifiez l’état IPsec.
Action
À partir du mode opérationnel, entrez la show security ipsec security-associations
commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ipsec security-associations index index_number detail
commande.
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108878 ESP:3des/md5 40539d12 939/ unlim - root 23434 1.1.100.23 >67108878 ESP:3des/md5 aff3ac30 939/ unlim - root 23434 1.1.100.23
user@host> show security ipsec security-associations detail ID: 67108878 Virtual-system: root, VPN Name: first_vpn Local Gateway: 13.168.11.100, Remote Gateway: 1.1.100.23 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1 Port: 23434, Nego#: 8, Fail#: 0, Def-Del#: 0 Flag: 0x608829 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Wed Apr 08 2020 19:14:22: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:14:15: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:13:39: IPSec SA negotiation successfully completed (3 times) Wed Apr 08 2020 19:13:39: IKE SA negotiation successfully completed (4 times) Wed Apr 08 2020 : IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Wed Apr 08 2020 19:10:39: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:10:20: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:10:08: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 : Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Direction: inbound, SPI: 40539d12, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 930 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 335 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: aff3ac30, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 930 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 335 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
Sens
La sortie de la show security ipsec security-associations
commande répertorie les informations suivantes :
L’adresse NAT de la passerelle distante est 1.1.100.23.
Les deux homologues de la paire SA IPsec utilisent le port 4500, ce qui indique que NAT-T est implémenté. (NAT-T utilise le port 4500 ou un autre port aléatoire à numéro élevé.)
Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux sens. La valeur 3571/ unlim indique que la durée de vie de la phase 2 expire dans 3571 secondes et qu’aucune taille de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 une fois le VPN activé.
La surveillance VPN n’est pas activée pour cette SA, comme l’indique un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U indique que la surveillance est activée et D indique que la surveillance est inactive.
Le système virtuel (vsys) est le système racine, et il indique toujours 0.
Exemple : Configuration de NAT-T avec un VPN de point de terminaison dynamique
Cet exemple montre comment configurer un VPN basé sur le routage où l’initiateur IKEv2 est un point de terminaison dynamique derrière un périphérique NAT.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Deux pare-feu SRX Series configurés dans un cluster de châssis
Un pare-feu SRX Series avec NAT
Un pare-feu SRX Series assurant l’accès au réseau des filiales
Junos OS version 12.1X46-D10 ou ultérieure pour la prise en charge IKEv2 NAT-T
Présentation
Dans cet exemple, un VPN IPsec est configuré entre la filiale (initiateur IKEv2) et le siège (répondeur IKEv2) pour sécuriser le trafic réseau entre les deux sites. La succursale est située derrière l’équipement NAT. L’adresse de la succursale est attribuée dynamiquement et est inconnue de l’intervenant. L’initiateur est configuré avec l’identité distante du répondeur pour la négociation de tunnel. Cette configuration établit un VPN de point de terminaison dynamique entre les homologues sur l’équipement NAT.
Figure 3 montre un exemple de topologie avec NAT-Traversal (NAT-T) et un VPN de point de terminaison dynamique.
Dans cet exemple, l’adresse IP de l’initiateur, 192.179.100.50, qui a été attribuée dynamiquement à l’appareil, est masquée par l’équipement NAT et traduite en 100.10.1.253.
Les options de configuration suivantes s’appliquent dans cet exemple :
L’identité locale configurée sur l’initiateur doit correspondre à l’identité de passerelle distante configurée sur le répondeur.
Les options de la phase 1 et de la phase 2 doivent correspondre entre l’initiateur et l’intervenant.
Dans cet exemple, la stratégie de sécurité par défaut qui autorise tout le trafic est utilisée pour tous les appareils. Des politiques de sécurité plus restrictives devraient être configurées pour les environnements de production. Reportez-vous à la section Présentation des stratégies de sécurité.
À partir de Junos OS version 12.1X46-D10 et de Junos OS version 17.3R1, la valeur par défaut de l’option nat-keepalive
configurée au niveau de la [edit security ike gateway gateway-name]
hiérarchie est passée de 5 secondes à 20 secondes.
Dans les périphériques SRX1400, SRX3400, SRX3600, SRX5600 et SRX5800, les négociations IKE impliquant une traversée NAT ne fonctionnent pas si l’homologue IKE se trouve derrière un périphérique NAT qui modifie l’adresse IP source des paquets IKE au cours de la négociation. Par exemple, si le périphérique NAT est configuré avec DIP, il modifie l’adresse IP source, car le protocole IKE fait passer le port UDP de 500 à 4500. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.)
Configuration
- Configuration de l’appareil de succursale (initiateur IKEv2)
- Configuration de l’unité NAT
- Configuration de l’appareil du siège social (répondeur IKEv2)
Configuration de l’appareil de succursale (initiateur IKEv2)
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 192.179.100.50/24 set interfaces ge-0/0/2 unit 0 family inet address 192.179.2.20/24 set interfaces st0 unit 0 family inet address 172.168.100.1/16 set routing-options static route 192.179.1.0/24 next-hop st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway HQ_GW ike-policy IKE_POL set security ike gateway HQ_GW address 100.10.1.50 set security ike gateway HQ_GW local-identity hostname branch.example.net set security ike gateway HQ_GW external-interface ge-0/0/1.0 set security ike gateway HQ_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn HQ_VPN bind-interface st0.0 set security ipsec vpn HQ_VPN ike gateway HQ_GW set security ipsec vpn HQ_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn HQ_VPN establish-tunnels immediately set security policies default-policy permit-all
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer l’appareil de succursale :
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 192.179.100.50/24 user@host# set ge-0/0/2 unit 0 family inet address 192.179.2.20/24 user@host# set st0 unit 0 family inet address 172.168.100.1/16
Configurez les options de routage.
[edit routing-options] user@host# set static route 192.179.1.0/24 next-hop st0.0
Configurez les zones.
[edit security zones security-zones trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/2.0 [edit security zones security-zones untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host#set interfaces st0.0
Configurez les options de la phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway HQ_GW] user@host# set ike-policy IKE_POL user@host# set address 100.10.1.50 user@host# set local-identity hostname branch.example.net user@host# set external-interface ge-0/0/1.0 user@host# set version v2-only
Configurez les options de la phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set proposals IPSEC_PROP user@host# set perfect-forward-secrecy keys group5 [edit security ipsec vpn HQ_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway HQ_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
Configurez la stratégie de sécurité.
[edit security policies] user@host# set default-policy permit-all
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces
commandes , , show security zones
, , show security ipsec
show routing-options
show security ike
et .show security policies
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 192.179.100.50/24; } } } ge-0/0/2 { unit 0 { family inet { address 192.179.2.20/24; } } } st0 { unit 0 { family inet { address 172.168.100.1/16; } } } [edit] user@host# show routing-options static { route 192.179.1.0/24 next-hop st0.0; } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; st0.0; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; pre-shared-key ascii-text "$ABC123” } gateway HQ_GW{ ike-policy IKE_POL; address 100.10.1.50; local-identity hostname branch.example.net; external-interface ge-0/0/1.0; version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn HQ_VPN { bind-interface st0.0; ike { gateway HQ_GW; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security policies default-policy { permit-all; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de l’unité NAT
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 100.10.1.253/24 set interfaces fe-0/0/2 unit 0 family inet address 192.179.100.253/24 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/2.0 set security nat source rule-set DYNAMIC from zone trust set security nat source rule-set DYNAMIC to zone untrust set security nat source rule-set DYNAMIC rule R2R3 match source-address 0.0.0.0/0 set security nat source rule-set DYNAMIC rule R2R3 then source-nat interface set security policies default-policy permit-all
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer le routeur intermédiaire fournissant NAT :
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 100.10.1.253/24 user@host# set fe-0/0/2 unit 0 family inet address 192.179.100.253/24
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/2.0
Configurez NAT.
[edit security nat source rule-set DYNAMIC] user@host# set from zone trust user@host# set to zone untrust user@host# set rule R2R3 match source-address 0.0.0.0/0 user@host# set rule R2R3 then source-nat interface
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show interfaces
, show security zones
, show security nat source
et show security policies
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 100.10.1.253/24; } } } fe-0/0/2 { unit 0 { family inet { address 192.179.100.253/24; } } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/2.0; } } [edit] user@host# show security nat source rule-set DYNAMIC { from zone untrust; to zone trust; rule R2R3 { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } [edit] user@host# show security policies default-policy { permit-all; }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de l’appareil du siège social (répondeur IKEv2)
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set chassis cluster reth-count 5 set chassis cluster redundancy-group 1 node 0 priority 220 set chassis cluster redundancy-group 1 node 1 priority 149 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/2 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/2 weight 255 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.179.1.10/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 100.10.1.50/24 set interfaces st0 unit 0 family inet address 172.168.100.2/16 set routing-options static route 192.179.2.0/24 next-hop st0.0 set routing-options static route 192.179.100.0/24 next-hop 100.10.1.253 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces reth0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway Branch_GW ike-policy IKE_POL set security ike gateway Branch_GW dynamic hostname branch.example.net set security ike gateway Branch_GW dead-peer-detection optimized set security ike gateway Branch_GW external-interface reth1.0 set security ike gateway Branch_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn Branch_VPN bind-interface st0.0 set security ipsec vpn Branch_VPN ike gateway Branch_GW set security ipsec vpn Branch_VPN ike ipsec-policy IPSEC_POL set security policies default-policy permit-all
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Configurez deux nœuds en tant que cluster de châssis.
[edit chassis cluster] user@host# set reth-count 5 user@host# set redundancy-group 1 node 0 priority 220 user@host# set redundancy-group 1 node 1 priority 149 user@host# set redundancy-group 1 interface-monitor ge-0/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-0/0/2 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/2 weight 255
Configurez les interfaces.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth0 user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.179.1.10/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 100.10.1.50/24 user@host# set st0 unit 0 family inet address 172.168.100.2/16
Configurez les options de routage.
[edit routing-options] user@host# set static route 192.179.2.0/24 next-hop st0.0 user@host# set static route 192.179.100.0/24 next-hop 100.10.1.253
Configurez les zones.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces st0.0 user@host# set interfaces reth1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth0.0
Configurez les options de la phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway Branch_GW] user@host# set ike-policy IKE_POL user@host# set dynamic hostname branch.example.net user@host# set dead-peer-detection optimized user@host# set external-interface reth1.0 user@host# set version v2-only
Configurez les options de la phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security ipsec vpn Branch_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway Branch_GW user@host# set ike ipsec-policy IPSEC_POL
Configurez la stratégie de sécurité par défaut.
[edit security policies] user@host# set default-policy permit-all
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show chassis cluster
commandes , , , , , show security zones
show routing-options
show security ike
show interfaces
show security ipsec
et .show security policies
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show chassis cluster reth-count 5; redundancy-group 1 { node 0 priority 220; node 1 priority 149; interface-monitor { ge-0/0/1 weight 255; ge-8/0/1 weight 255; ge-0/0/2 weight 255; ge-8/0/2 weight 255; } } [edit] user@host# show interfaces ge-0/0/1 { gigether-options { redundant-parent reth0; } } ge-0/0/2 { gigether-options { redundant-parent reth1; } } ge-8/0/1 { gigether-options { redundant-parent reth0; } } ge-8/0/2 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.179.1.10/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 100.10.1.50/24; } } } st0 { unit 0{ family inet { address 172.168.100.2/16; } } } [edit] user@host# show routing-options static { route 192.179.2.0/24 next-hop st0.0; route 192.179.100.0/24 next-hop 100.10.1.253; } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; reth1.0; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; pre-shared-key ascii-text “$ABC123” } gateway Branch_GW { ike-policy IKE_POL; dynamic hostname branch.example.net; dead-peer-detection optimized; external-interface reth1.0; version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn Branch_VPN { bind-interface st0.0; ike { gateway Branch_GW; ipsec-policy IPSEC_POL; } } [edit] user@host# show security policies default-policy { permit-all; }
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’état IKE Phase 1 pour le répondeur
- Vérification des associations de sécurité IPsec pour le répondeur
Vérification de l’état IKE Phase 1 pour le répondeur
But
Vérifiez l’état de la phase 1 de l’IKE.
Action
À partir du mode opérationnel sur le nœud 0, entrez la show security ike security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ike security-associations detail commande.
user@host# show security ike security-associations node0: Index State Initiator cookie Responder cookie Mode Remote Address 1367024684 UP f82c54347e2f3fb1 020e28e1e4cae003 IKEv2 100.10.1.253
user@host# show security ike security-associations detail node0: IKE peer 100.10.1.253, Index 1367024684, Gateway Name: Branch_GW Location: FPC 5, PIC 0, KMD-Instance 2 Role: Responder, State: UP Initiator cookie: f82c54347e2f3fb1, Responder cookie: 020e28e1e4cae003 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 100.10.1.50:4500, Remote: 100.10.1.253:2541 Lifetime: Expires in 3593 seconds Peer ike-id: branch.example.net Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 683 Output bytes : 400 Input packets: 2 Output packets: 1 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE Phase 1 actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de la phase 1. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration.
Si des SA sont répertoriées, vérifiez les informations suivantes :
Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la commande pour obtenir plus d’informations sur la
show security ike security-associations index index_id detail
SA.Remote address (Adresse distante) : vérifiez que l’adresse IP locale est correcte et que le port 4500 est utilisé pour la communication peer-to-peer.
État du répondeur de rôle
Vers le haut : l’AS de phase 1 a été établie.
Vers le bas : un problème est survenu lors de l’établissement de la phase 1 de l’AS
Peer IKE ID : vérifiez que l’adresse est correcte.
Identité locale et identité distante : vérifiez que ces adresses sont correctes.
Mode (Mode) : vérifiez que le mode approprié est utilisé.
Vérifiez que les éléments suivants sont corrects dans votre configuration :
Interfaces externes (l’interface doit être celle qui envoie les paquets IKE)
Paramètres de stratégie IKE
Informations clés prépartagées
Paramètres de la proposition de la phase 1 (doivent correspondre sur les deux pairs)
La show security ike security-associations
commande répertorie des informations supplémentaires sur les associations de sécurité :
Algorithmes d’authentification et de chiffrement utilisés
Durée de vie de la phase 1
Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic est fluide dans les deux sens)
Informations sur le rôle
Le dépannage est mieux effectué sur l’homologue à l’aide du rôle de répondeur.
Informations sur l’initiateur et le répondant
Nombre de SA IPsec créées
Nombre de négociations de phase 2 en cours
Vérification des associations de sécurité IPsec pour le répondeur
But
Vérifiez l’état IPsec.
Action
À partir du mode opérationnel sur le nœud 0, entrez la show security ipsec security-associations commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ipsec security-associations detail commande.
user@host# show security ipsec security-associations node0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77856771 ESP:aes-cbc-256/sha1 4ad5af40 7186/unlim - root 2541 100.10.1.253 >77856771 ESP:aes-cbc-256/sha1 5bb0a5ee 7186/unlim - root 2541 100.10.1.253
user@host# show security ipsec security-associations detail node0 ID: 77856771 Virtual-system: root, VPN Name: Branch_VPN Local Gateway: 100.10.1.50, Remote Gateway: 100.10.1.253 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear Bind-interface: st0.0 Port: 2541, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 608a29 Tunnel Down Reason: SA not initiated Location: FPC 5, PIC 0, KMD-Instance 2 Direction: inbound, SPI: 4ad5af40, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 7182 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 6587 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
Sens
La sortie de la show security ipsec security-associations
commande répertorie les informations suivantes :
L’adresse IP de la passerelle distante est 100.10.1.253.
Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux sens. La valeur de durée de vie indique que la durée de vie de la phase 2 expire dans 7186 secondes et qu’aucune durée de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie de la phase 2 peut différer de la durée de vie de la phase 1, car la phase 2 ne dépend pas de la phase 1 une fois le VPN activé.
Le système virtuel (vsys) est le système racine, et il indique toujours 0.
La sortie de la show security ipsec security-associations index index_id detail
commande répertorie les informations suivantes :
L’identité locale et l’identité distante constituent l’ID de proxy de la SA.
Une incompatibilité d’ID de proxy est l’une des causes les plus courantes d’échec de phase 2. Si aucune SA IPsec n’est répertoriée, vérifiez que les propositions de phase 2, y compris les paramètres d’ID de proxy, correspondent pour les deux homologues. Pour les VPN basés sur le routage, l’ID de proxy par défaut est local=0.0.0.0/0, remote=0.0.0.0/0 et service=any. Des problèmes peuvent survenir avec plusieurs VPN basés sur le routage à partir de la même adresse IP homologue. Dans ce cas, un ID de proxy unique doit être spécifié pour chaque SA IPsec. Pour certains fournisseurs tiers, l’ID de proxy doit être saisi manuellement pour correspondre.
Une autre raison fréquente de l’échec de la phase 2 est la non-spécification de la liaison d’interface ST. Si IPsec ne peut pas être terminé, vérifiez le journal kmd ou définissez les options de traçage.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
nat-keepalive
configurée au niveau de la [edit security ike gateway gateway-name]
hiérarchie est passée de 5 secondes à 20 secondes.