VPN IPsec basés sur le routage
Un VPN basé sur le routage est une configuration dans laquelle un tunnel VPN IPsec créé entre deux points de terminaison est référencé par une route qui détermine quel trafic est envoyé via le tunnel en fonction d’une adresse IP de destination.
Comprendre les VPN IPsec basés sur le routage
Avec les VPN basés sur le routage, vous pouvez configurer des dizaines de stratégies de sécurité pour réguler le trafic circulant via un seul tunnel VPN entre deux sites, et il n’y a qu’un seul ensemble de IKE et d’IPsec SA à l’œuvre. Contrairement aux VPN basés sur des stratégies, pour les VPN basés sur le routage, une stratégie fait référence à une adresse de destination, et non à un tunnel VPN. Lorsque Junos OS recherche un itinéraire pour trouver l’interface à utiliser pour envoyer le trafic vers l’adresse de destination du paquet, il trouve un itinéraire via une interface de tunnel sécurisée (st0.x). L’interface du tunnel est liée à un tunnel VPN spécifique et le trafic est acheminé vers le tunnel si l’action de stratégie est autorisée.
Une interface de tunnel sécurisé (st0) ne prend en charge qu’une seule adresse IPv4 et une seule adresse IPv6 en même temps. Cela s’applique à tous les VPN basés sur le routage. L’option disable
n’est pas prise en charge sur les interfaces st0.
Une interface de tunnel sécurisée (st0) de st0.16000 à st0.16385 est réservée pour la haute disponibilité multinœud et pour le chiffrement des liens de contrôle HA dans Chassis Cluster. Ces interfaces ne sont pas des interfaces configurables par l’utilisateur. Vous ne pouvez utiliser que des interfaces de st0.0 à st0.15999.
Exemples d’utilisation de VPN basés sur le routage :
Des sous-réseaux ou adresses IP se chevauchent entre les deux réseaux locaux.
Le réseau utilise une topologie VPN en étoile, pour un trafic spoke à spoke.
Un VPN principal et un VPN de secours sont requis.
Un protocole de routage dynamique (par exemple, OSPF, RIP ou BGP) s’exécute sur le VPN.
La configuration des circuits de demande RIP sur des interfaces VPN point à multipoint n’est pas prise en charge.
Nous vous recommandons d’utiliser un VPN basé sur l’itinéraire lorsque vous souhaitez configurer un VPN entre plusieurs sites distants. Le VPN basé sur la route permet le routage entre les rayons entre plusieurs sites distants ; Il est plus facile à configurer, à surveiller et à dépanner.
Voir également
Exemple : Configuration d’un VPN basé sur le routage
Cet exemple montre comment configurer un VPN IPsec basé sur le routage pour autoriser le transfert sécurisé de données entre deux sites.
Conditions préalables
Cet exemple utilise le matériel suivant :
-
Tout pare-feu SRX Series
- Mis à jour et revalidé à l’aide du pare-feu virtuel vSRX sur Junos OS version 20.4R1.
Souhaitez-vous acquérir une expérience pratique des sujets et des opérations abordés dans ce guide ? Consultez la démonstration du VPN basé sur le routage IPsec dans les laboratoires virtuels Juniper Networks et réservez votre sandbox gratuit dès aujourd’hui ! Vous trouverez le bac à sable basé sur le routage VPN IPsec dans la catégorie Sécurité.
Avant de commencer, lisez Présentation d’IPsec.
Présentation
Dans cet exemple, vous allez configurer un VPN basé sur le routage sur SRX1 et SRX2. Host1 et Host2 utilisent le VPN pour envoyer du trafic en toute sécurité sur Internet entre les deux hôtes.
Figure 1 montre un exemple de topologie VPN basée sur le routage.
Dans cet exemple, vous configurez des interfaces, une route IPv4 par défaut et des zones de sécurité. Ensuite, vous configurez les paramètres IKE, IPsec, la stratégie de sécurité et TCP-MSS. Consultez Tableau 1 les Tableau 5 paramètres de configuration spécifiques utilisés dans cet exemple.
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Interfaces |
GE-0/0/0.0 |
10.100.11.1/24 |
GE-0/0/1.0 |
172.16.13.1/24 |
|
st0.0 (interface tunnel) |
10.100.200.1/24 |
|
Routes statiques |
10.100.22.0/24 0.0.0.0/0 |
Le saut suivant est st0.0. Le saut suivant est 172.16.13.2. |
Zones de sécurité |
confiance |
|
Untrust |
|
|
Vpn |
|
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
Standard |
|
Politique |
IKE-POL |
|
Passerelle |
IKE-GW |
|
Fonctionnalité |
Nom |
Paramètres de configuration |
---|---|---|
Proposition |
Standard |
|
Politique |
IPSEC-POL |
|
VPN |
VPN vers hôte2 |
|
But |
Nom |
Paramètres de configuration |
---|---|---|
La stratégie de sécurité autorise le trafic de la zone de confiance vers la zone VPN. |
SORTIE VPN |
|
La stratégie de sécurité autorise le trafic de la zone VPN vers la zone de confiance. |
ENTRÉE VPN |
|
But |
Paramètres de configuration |
---|---|
TCP-MSS est négocié dans le cadre de l’établissement de liaison TCP à trois voies et limite la taille maximale d’un segment TCP afin de mieux s’adapter aux limites MTU d’un réseau. Pour le trafic VPN, la surcharge d’encapsulation IPsec, ainsi que l’IP et la surcharge de trame, peuvent entraîner un dépassement de la MTU de l’interface physique par le paquet ESP résultant, ce qui entraîne une fragmentation. La fragmentation augmente la bande passante et les ressources de l’appareil. Nous recommandons une valeur de 1350 comme point de départ pour la plupart des réseaux Ethernet avec une MTU de 1500 ou plus. Vous devrez peut-être tester différentes valeurs TCP-MSS pour obtenir des performances optimales. Par exemple, vous devrez peut-être modifier la valeur si un périphérique du chemin d’accès a une MTU inférieure ou s’il existe une surcharge supplémentaire telle que PPP ou Frame Relay. |
Valeur MSS : 1350 |
Configuration
- Configurer les informations de base sur le réseau et la zone de sécurité
- Configuration d’IKE
- Configuration d’IPsec
- Configuration des stratégies de sécurité
- Configuration de TCP-MSS
- Configuration de SRX2
Configurer les informations de base sur le réseau et la zone de sécurité
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit en mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set interfaces st0 unit 0 family inet address 10.100.200.1/24 set routing-options static route 10.100.22.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.
Pour configurer les informations de l’interface, de la route statique et de la zone de sécurité :
-
Configurez les interfaces.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32 user@SRX1# set interfaces st0 unit 0 family inet address 10.100.200.1/24
-
Configurez les routes statiques.
[edit] user@SRX1# set routing-options static route 10.100.22.0/24 next-hop st0.0 user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
Attribuez l’interface Internet à la zone de sécurité non fiable.
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
Spécifiez les services système autorisés pour la zone de sécurité untrust.
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Affectez l’interface Host1 à la zone de sécurité de confiance.
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
Spécifiez les services système autorisés pour la zone de sécurité de confiance.
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
-
Attribuez l’interface de tunnel sécurisé à la zone de sécurité VPN.
[edit security zones security-zone VPN] user@SRX1# set interfaces st0.0
-
Spécifiez les services système autorisés pour la zone de sécurité VPN.
[edit security zones security-zone VPN] user@SRX1# set host-inbound-traffic system-services ping
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les commandes show interfaces
, show routing-options
et show security zones
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@SRX1# show interfaces ge-0/0/0 { unit 0 { family inet { address 10.100.11.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 172.16.13.1/24; } } } lo0 { unit 0 { family inet { address 10.100.100.1/32; } } } st0 { unit 0 { family inet { address 10.100.200.1/24; } } }
[edit]
user@SRX1# show routing-options
static {
route 10.100.22.0/24 next-hop st0.0;
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
st0.0;
}
}
Configuration d’IKE
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit en mode de configuration.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.
Pour configurer l’IKE :
-
Créez la proposition IKE.
[edit security ike] user@SRX1# set proposal standard
-
Définissez la méthode d’authentification de la proposition IKE.
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
Créez une stratégie IKE.
[edit security ike] user@SRX1# set policy IKE-POL
-
Définissez le mode de stratégie IKE.
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
Spécifiez une référence à la proposition IKE.
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
Définissez la méthode d’authentification de la stratégie IKE.
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
Créez une passerelle IKE et définissez son interface externe.
[edit security ike] user@SRX1# set gateway IKE-GW external-interface ge-0/0/1
-
Définissez la référence de stratégie IKE.
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
-
Définissez l’adresse de la passerelle IKE.
[edit security ike gateway IKE-GW] user@SRX1# set address 172.16.23.1
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ike
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@SRX1# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
Configuration d’IPsec
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cette section de l’exemple pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit en mode de configuration.
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 bind-interface st0.0 set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.
Pour configurer IPsec :
-
Créez une proposition IPsec.
[edit] user@SRX1# set security ipsec proposal standard
-
Créez la stratégie IPsec.
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
Spécifiez la référence de proposition IPsec.
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
Spécifiez la passerelle IKE.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
Spécifiez la stratégie IPsec.
[edit security ipsec] user@host# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
Spécifiez l’interface à lier.
[edit security ipsec] user@host# set vpn VPN-to-Host2 bind-interface st0.0
-
Configurez le tunnel pour qu’il s’établisse immédiatement.
[edit security ipsec] user@host# set vpn VPN-to-Host2 establish-tunnels immediately
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security ipsec
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
bind-interface st0.0;
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
Configuration des stratégies de sécurité
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement les stratégies de sécurité pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit en mode de configuration.
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone VPN set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.
Pour configurer les politiques de sécurité :
-
Créez des entrées de carnet d’adresses pour les réseaux qui seront utilisées dans les stratégies de sécurité.
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone VPN
-
Créez une stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone de non-confiance pour le trafic vers Internet.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
Créez une stratégie de sécurité pour autoriser le trafic de l’hôte 1 dans la zone de confiance destiné à l’hôte 2 dans la zone VPN.
[edit security policies from-zone trust to-zone VPN] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit
-
Créez une stratégie de sécurité pour autoriser le trafic de Host2 dans la zone VPN vers Host1 dans la zone de confiance.
[edit security policies from-zone VPN to-zone trust] user@host# set policy VPN-IN match source-address Host2-Net user@host# set policy VPN-IN match destination-address Host1-Net user@host# set policy VPN-IN match application any user@host# set policy VPN-IN then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les commandes show security address-book
et show security policies
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security address-book Host1 { address Host1-Net 10.100.11.0/24; attach { zone trust; } } Host2 { address Host2-Net 10.100.22.0/24; attach { zone VPN; } } user@host# show security policies from-zone trust to-zone untrust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone VPN { policy VPN-OUT { match { source-address Host1-Net; destination-address Host2-Net; application any; } then { permit; } } } from-zone VPN to-zone trust { policy VPN-IN { match { source-address Host2-Net; destination-address Host1-Net; application any; } then { permit; } } }
Configuration de TCP-MSS
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement le MSS TCP pour SRX1, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit en mode de configuration.
set security flow tcp-mss ipsec-vpn mss 1350
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.
Pour configurer les informations TCP-MSS :
-
Configurez les informations TCP-MSS.
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security flow
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@SRX1# show security flow tcp-mss { ipsec-vpn { mss 1350; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Configuration de SRX2
Configuration rapide de l’interface de ligne de commande
À titre de référence, la configuration du SRX2 est fournie.
Pour configurer rapidement cette section de l’exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit en mode de configuration.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 bind-interface st0.0 set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone VPN set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set interfaces st0 unit 0 family inet address 10.100.200.2/24 set routing-options static route 10.100.11.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
Vérification
Effectuez les opérations suivantes pour vérifier que la configuration fonctionne correctement :
- Vérifier l’état IKE
- Vérifier l’état IPsec
- Tester le flux de trafic sur le VPN
- Consulter les statistiques et les erreurs d’une association de sécurité IPsec
Vérifier l’état IKE
But
Vérifiez l’état IKE.
Action
À partir du mode opérationnel, entrez la show security ike security-associations
commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ike security-associations index index_number detail
commande.
user@SRX1> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1859340 UP b153dc24ec214da9 5af2ee0c2043041a Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859340 detail IKE peer 172.16.23.1, Index 1859340, Gateway Name: IKE-GW Role: Responder, State: UP Initiator cookie: b153dc24ec214da9, Responder cookie: 5af2ee0c2043041a Exchange type: Main, Authentication method: Pre-shared-keys Local: 172.16.13.1:500, Remote: 172.16.23.1:500 Lifetime: Expires in 23038 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: 172.16.23.1 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1236 Output bytes : 868 Input packets: 9 Output packets: 5 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 2 created, 2 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 172.16.13.1:500, Remote: 172.16.23.1:500 Local identity: 172.16.13.1 Remote identity: 172.16.23.1 Flags: IKE SA is created
Sens
La show security ike security-associations
commande répertorie toutes les SA IKE actives. Si aucune SA n’est répertoriée, il y a eu un problème avec l’établissement de l’IKE. Vérifiez les paramètres de stratégie IKE et les paramètres de l’interface externe dans votre configuration.
Si des SA sont répertoriées, vérifiez les informations suivantes :
-
Index : cette valeur est unique pour chaque IKE SA, que vous pouvez utiliser dans la commande pour obtenir plus d’informations sur la
show security ike security-associations index detail
SA. -
Remote Address (Adresse distante) : vérifiez que l’adresse IP distante est correcte.
-
État
-
UP : l’IKE SA a été créée.
-
DOWN—Il y a eu un problème lors de l’établissement de l’IKE SA.
-
-
Mode (Mode) : vérifiez que le mode approprié est utilisé.
Vérifiez que les éléments suivants sont corrects dans votre configuration :
-
Interfaces externes (l’interface doit être celle qui reçoit les paquets IKE)
-
Paramètres de stratégie IKE
-
Informations clés prépartagées
-
Paramètres de la proposition (doivent correspondre sur les deux pairs)
La show security ike security-associations index 1859340 detail
commande répertorie des informations supplémentaires sur l’association de sécurité avec un numéro d’index de 1859340 :
-
Algorithmes d’authentification et de chiffrement utilisés
-
Vie
-
Statistiques de trafic (peuvent être utilisées pour vérifier que le trafic est fluide dans les deux sens)
-
Informations sur le rôle
Le dépannage est mieux effectué sur l’homologue à l’aide du rôle de répondeur.
-
Informations sur l’initiateur et le répondant
-
Nombre de SA IPsec créées
-
Nombre de négociations en cours
Vérifier l’état IPsec
But
Vérifiez l’état IPsec.
Action
À partir du mode opérationnel, entrez la show security ipsec security-associations
commande. Après avoir obtenu un numéro d’index à partir de la commande, utilisez la show security ipsec security-associations index index_number detail
commande.
user@SRX1> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 912f9063 3403/ unlim - root 500 172.16.23.1 >131074 ESP:3des/sha1 71dbaa56 3403/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 131074 detail ID: 131074 Virtual-system: root, VPN Name: VPN-to-Host2 Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0 Port: 500, Nego#: 26, Fail#: 0, Def-Del#: 0 Flag: 0x600a29 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Fri Jul 23 2021 10:46:34 -0700: IPSec SA negotiation successfully completed (23 times) Fri Jul 23 2021 09:07:24 -0700: IKE SA negotiation successfully completed (3 times) Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times) Thu Jul 22 2021 16:33:50 -0700: Tunnel configuration changed. Corresponding IKE/IPSec SAs are deleted (1 times) Thu Jul 22 2021 16:23:49 -0700: IPSec SA negotiation successfully completed (2 times) Thu Jul 22 2021 15:34:12 : IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Thu Jul 22 2021 15:33:25 -0700: IPSec SA negotiation successfully completed (1 times) Thu Jul 22 2021 15:33:25 : Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Thu Jul 22 2021 15:33:25 -0700: External interface's address received. Information updated (1 times) Thu Jul 22 2021 15:33:25 -0700: Bind-interface's zone received. Information updated (1 times) Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times) Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times) Direction: inbound, SPI: 912f9063, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3302 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2729 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 71dbaa56, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3302 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2729 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
Sens
La sortie de la show security ipsec security-associations
commande répertorie les informations suivantes :
-
Le numéro d’identification est 131074. Utilisez cette valeur avec la
show security ipsec security-associations index
commande pour obtenir plus d’informations sur cette SA particulière. -
Il existe une paire SA IPsec utilisant le port 500, ce qui indique qu’aucune traversée NAT n’est implémentée. (La traversée NAT utilise le port 4500 ou un autre port aléatoire à nombre élevé.)
-
Les SPI, la durée de vie (en secondes) et les limites d’utilisation (ou la durée de vie en Ko) sont indiqués dans les deux sens. La valeur 3403/ unlim indique que la durée de vie expire dans 3403 secondes et qu’aucune durée de vie n’a été spécifiée, ce qui indique qu’elle est illimitée. La durée de vie peut différer de la durée de vie, car IPsec ne dépend pas d’IKE une fois le VPN activé.
-
La surveillance VPN n’est pas activée pour cette SA, comme l’indique un trait d’union dans la colonne Mon. Si la surveillance VPN est activée, U indique que la surveillance est activée et D indique que la surveillance est inactive.
-
Le système virtuel (vsys) est le système racine, et il indique toujours 0.
La sortie de la show security ipsec security-associations index 131074 detail
commande répertorie les informations suivantes :
-
L’identité locale et l’identité distante constituent l’ID de proxy de la SA.
Une incompatibilité d’ID de proxy est l’une des causes les plus courantes d’échec IPsec. Si aucune SA IPsec n’est répertoriée, vérifiez que les propositions IPsec, y compris les paramètres d’ID de proxy, sont correctes pour les deux homologues. Pour les VPN basés sur le routage, l’ID de proxy par défaut est local=0.0.0.0/0, remote=0.0.0.0/0 et service=any. Des problèmes peuvent survenir avec plusieurs VPN basés sur le routage à partir de la même adresse IP homologue. Dans ce cas, un ID de proxy unique doit être spécifié pour chaque SA IPsec. Pour certains fournisseurs tiers, l’ID de proxy doit être saisi manuellement pour correspondre.
-
Une autre raison courante de l’échec IPsec est l’absence de spécification de la liaison d’interface ST. Si IPsec ne peut pas être terminé, vérifiez le journal kmd ou définissez les options de traçage.
Tester le flux de trafic sur le VPN
But
Vérifiez le flux de trafic sur le VPN.
Action
Utilisez la ping
commande du périphérique Host1 pour tester le flux de trafic vers Host2.
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.146/3.824/6.193/0.402 ms
Sens
Si la ping
commande échoue à partir de Host1, il peut y avoir un problème avec le routage, les stratégies de sécurité, l’hôte final ou le chiffrement et le déchiffrement des paquets ESP.
Consulter les statistiques et les erreurs d’une association de sécurité IPsec
But
Examinez les compteurs d’en-tête et les erreurs ESP et d’authentification pour une association de sécurité IPsec.
Action
À partir du mode opérationnel, entrez la show security ipsec statistics index index_number
commande, à l’aide du numéro d’index du VPN pour lequel vous souhaitez voir les statistiques.
user@SRX1> show security ipsec statistics index 131074 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Vous pouvez également utiliser la show security ipsec statistics
commande pour consulter les statistiques et les erreurs de toutes les SA.
Pour effacer toutes les statistiques IPsec, utilisez la clear security ipsec statistics
commande.
Sens
Si vous constatez des problèmes de perte de paquets sur un VPN, exécutez la show security ipsec statistics
commande ou show security ipsec statistics detail
plusieurs fois pour confirmer si les compteurs de paquets chiffrés et déchiffrés s’incrémentent. Recherchez dans la sortie de la commande les compteurs d’erreur d’incrémentation.