Configuración de VPN en un dispositivo que ejecuta Junos OS
En esta sección se describen las configuraciones de ejemplo de una VPN IPsec en un dispositivo Junos OS mediante los siguientes métodos de autenticación IKE:
Configuración de VPN en un dispositivo que ejecuta Junos OS Descripción general
En esta sección se describen las configuraciones de ejemplo de una VPN IPsec en un dispositivo Junos OS mediante los siguientes métodos de autenticación IKE:
-
Configuración de una VPN IPsec con una clave previamente compartida para la autenticación IKE
-
Configuración de una VPN IPsec con una firma RSA para la autenticación IKE
-
Configuración de una VPN IPsec con una firma ECDSA para la autenticación IKE
La Figura 1 muestra la topología VPN utilizada en todos los ejemplos descritos en esta sección. Aquí, H0 y H1 son las PC host, R0 y R2 son los dos puntos de conexión del túnel VPN IPsec, y R1 es un enrutador para enrutar el tráfico entre las dos redes diferentes.
El enrutador R1 puede ser un enrutador basado en Linux, un dispositivo Juniper Networks o cualquier otro enrutador de proveedor.
VPN
La tabla 1 proporciona una lista completa de los protocolos IKE compatibles, modos de túnel, modo de negociación de fase 1, método o algoritmo de autenticación, algoritmo de cifrado, grupos DH compatibles con la autenticación Y cifrado IKE (Fase1, propuesta de IKE), y para la autenticación y cifrado IPsec (Fase2, Propuesta de IPsec). El TOE solo funciona en modo de túnel de forma predeterminada. No se necesita ninguna configuración independiente para IPSec.
| Protocolo ICR |
Modo de túnel |
Modo de negociación fase1 |
Propuesta de fase 1 (P1, IKE) |
|||
|---|---|---|---|---|---|---|
| Método de autenticación |
Algoritmo de autenticación |
Grupo DH |
Algoritmo de cifrado |
|||
| IKEv1 |
Principal |
Ruta |
claves previamente compartidas |
sha-256 |
grupo14 |
3des-cbc |
| IKEv2 |
rsa-signatures-2048 |
sha-384 |
grupo19 |
aes-128-cbc |
||
| ecdsa-signatures-256 |
grupo 20 |
aes-128-gcm |
||||
| ecdsa-signatures-384 |
grupo 24 |
aes-192-cbc |
||||
| aes-256-cbc |
||||||
| aes-256-gcm |
||||||
| Protocolo ICR |
Modo de túnel |
Modo de negociación fase1 |
Propuesta de fase 2 (P2, IPsec) |
|||
|---|---|---|---|---|---|---|
| Algoritmo de autenticación |
Grupo DH (PFS) |
Método de cifrado |
Algoritmo de cifrado |
|||
| IKEv1 |
Principal |
Ruta |
hmac-sha256-128 |
grupo14 |
Esp |
aes-128-cbc |
| IKEv2 |
|
grupo19 |
aes-128-gcm |
|||
| grupo 20 |
aes-192-cbc |
|||||
| grupo 24 |
aes-192-gcm |
|||||
| aes-256-cbc |
||||||
| aes-256-gcm |
||||||
En las siguientes secciones se proporcionan configuraciones de ejemplo de ejemplos de VPN IPsec IKEv1 para algoritmos seleccionados. Los algoritmos de autenticación y cifrado se pueden reemplazar en las configuraciones para lograr las configuraciones deseadas por el usuario. Use set security ike gateway <gw-name> version v2-only el comando para VPN IPsec IKEv2.
- Configuración de una VPN IPsec con una clave previamente compartida para la autenticación IKE
- Configuración de una VPN IPsec con una firma RSA para la autenticación IKE
- Configuración de una VPN IPsec con una firma ECDSA para la autenticación IKE
Configuración de una VPN IPsec con una firma RSA para la autenticación IKE
En esta sección, configurará dispositivos que ejecutan Junos OS para VPN IPsec mediante una firma RSA con el método de autenticación IKE. Para validar certificados, el TOE extrae el asunto, el emisor, la clave pública del asunto, la firma, las restricciones básicas y los campos del período de validez. Si no hay campos presentes, se producirá un error en la validación. El emisor se busca en la base de datos de PKI. Si el emisor no está presente o si el certificado del emisor no tiene la marca CA:true en la sección basicConstraints , se producirá un error en la validación. El TOE verifica la validez de la firma. Si la firma no es válida, se producirá un error en la validación. A continuación, confirma que la fecha y la hora actuales están dentro del período de tiempo válido especificado en el certificado si el TOE se configuró para realizar una comprobación de revocación mediante CRL (como se especifica en rfc 5280 Sección 6.3). Si la CRL no se puede descargar, se considera que el certificado ha fallado en la validación, a menos que se haya habilitado la opción de omitir la comprobación de CRL en el error de descarga. Los algoritmos utilizados en la autenticación o cifrado IKE o IPsec se muestran en la tabla 3.
| Protocolo ICR |
Modo de túnel |
Modo de negociación fase1 |
Propuesta de fase 1 (P1, IKE) |
|||
|---|---|---|---|---|---|---|
| Método de autenticación |
Algoritmo de autenticación |
Grupo DH |
Algoritmo de cifrado |
|||
| IKEv1 |
Principal |
Ruta |
rsa-signatures-2048 |
sha-256 |
grupo19 |
aes-128-cbc |
| Protocolo ICR |
Modo de túnel |
Modo de negociación fase1 |
Propuesta de fase 2 (P2, IPsec) |
|||
|---|---|---|---|---|---|---|
| Algoritmo de autenticación |
Grupo DH (PFS) |
Método de cifrado |
Algoritmo de cifrado |
|||
| IKEv1 |
Principal |
Ruta |
hmac-sha-256-128 |
grupo19 |
Esp |
aes-128-cbc |
Configuración de VPN IPsec con firma RSA como autenticación IKE en el iniciador o el respondedor
Para configurar la autenticación IKE de VPN IPsec con firma RSA en el iniciador:
-
Configure la PKI. Consulte Ejemplo: Configurar PKI.
-
Genere el par de claves RSA. Consulte Ejemplo: Generación de un par de claves públicas y privadas.
-
Genere y cargue el certificado de CA. Consulte Ejemplo: Cargar ca y certificados locales manualmente.
-
Cargue la CRL. Consulte Ejemplo: Cargar manualmente una CRL en el dispositivo .
-
Genere y cargue un certificado local. Consulte Ejemplo: Cargar ca y certificados locales manualmente.
-
Configure la propuesta de ICR.
[edit security ike] user@host# set proposal ike-proposal1 authentication-method rsa-signatures user@host# set proposal ike-proposal1 dh-group group19 user@host# set proposal ike-proposal1 authentication-algorithm sha-256 user@host# set proposal ike-proposal1 encryption-algorithm aes-128-cbc
Nota:Aquí está
ike-proposal1el nombre que le dio el administrador autorizado. -
Configure la política de IKE.
[edit security ike] user@host# set policy ike-policy1 mode main user@host# set policy ike-policy1 proposals ike-proposal1 user@host# set policy ike-policy1 certificate local-certificate cert1
Nota:Aquí,
ike-policy1el nombre de la política de ICR que le dio el administrador autorizado. -
Configure la propuesta de IPsec.
[edit security ipsec] user@host# set proposal ipsec-proposal1 protocol esp user@host# set proposal ipsec-proposal1 authentication-algorithm hmac-sha-256-128 user@host# set proposal ipsec-proposal1 encryption-algorithm aes-128-cbc
Nota:Aquí está
ipsec-proposal1el nombre que le dio el administrador autorizado. -
Configure la política IPsec.
[edit security ipsec] user@host# set policy ipsec-policy1 perfect-forward-secrecy keys group19 user@host# set policy ipsec-policy1 proposals ipsec-proposal1
Nota:Aquí está
ipsec-policy1el nombre que le dio el administrador autorizado. -
Configure la IKE.
[edit security ike] user@host# set gateway gw1 ike-policy ike-policy1 user@host# set gateway gw1 address 192.0.2.8 user@host# set gateway gw1 local-identity inet 192.0.2.5 user@host# set gateway gw1 external-interface fe-0/0/1
Nota:Aquí,
192.0.2.8es la IP del punto de conexión VPN par,192.0.2.5es la IP del punto de conexión VPN local yfe-0/0/1es la interfaz de salida local como punto de conexión VPN. La siguiente configuración también es necesaria para IKEv2.[edit security ike] user@host# set gateway gw1 version v2-only
-
Configure VPN.
[edit security ipsec] user@host# set vpn vpn1 ike gateway gw1 user@host# set vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# set vpn vpn1 bind-interface st0.0
Nota:Aquí está
vpn1el nombre del túnel VPN que le dio el administrador autorizado.[edit] user@host# set routing-options static route 192.0.2.10/24 qualified-next-hop st0.0 preference 1
-
Configure las políticas de flujo de salida.
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-close
Nota:Aquí,
trustZoneyuntrustZoneson zonas de seguridad preconfiguradas yuntrustLantrustLanson direcciones de red preconfiguradas. -
Configure las políticas de flujo entrante.
[edit security policies] user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application any user@host# set from-zone untrustZone to-zone trustZone policy policy1 then permit user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-close
Nota:Aquí,
trustZoneyuntrustZoneson zonas de seguridad preconfiguradas yuntrustLantrustLanson direcciones de red preconfiguradas. -
Confirme la configuración.
[edit] user@host# commit
Configuración de una VPN IPsec con una firma ECDSA para la autenticación IKE
En esta sección, configurará dispositivos que ejecutan Junos OS para VPN IPsec mediante una firma ECDSA con el método de autenticación IKE. Para validar certificados, el TOE extrae el asunto, el emisor, la clave pública del asunto, la firma, las restricciones básicas y los campos del período de validez. Si no hay campos presentes, se producirá un error en la validación. El emisor se busca en la base de datos de PKI. Si el emisor no está presente o si el certificado del emisor no tiene la marca CA:true en la sección basicConstraints , se producirá un error en la validación. El TOE verifica la validez de la firma. Si la firma no es válida, se producirá un error en la validación. A continuación, confirma que la fecha y la hora actuales están dentro del período de tiempo válido especificado en el certificado si el TOE está configurado para realizar una comprobación de revocación mediante CRL (como se especifica en rfc 5280 Sección 6.3). Si la CRL no se puede descargar, se considera que el certificado ha fallado en la validación, a menos que se haya habilitado la opción de omitir la comprobación de CRL en el error de descarga. Los algoritmos utilizados en la autenticación o cifrado IKE o IPsec se muestran en la tabla 4.
| Protocolo ICR |
Modo de túnel |
Modo de negociación fase1 |
Propuesta de fase 1 (P1, IKE) |
|||
|---|---|---|---|---|---|---|
| Método de autenticación |
Algoritmo de autenticación |
Grupo DH |
Algoritmo de cifrado |
|||
| IKEv1 |
Principal |
Ruta |
ecdsa-signatures-256 |
sha-384 |
grupo14 |
aes-256-cbc |
| Protocolo ICR |
Modo de túnel |
Modo de negociación fase1 |
Propuesta de fase 2 (P2, IPsec) |
|||
|---|---|---|---|---|---|---|
| Algoritmo de autenticación |
Grupo DH (PFS) |
Método de cifrado |
Algoritmo de cifrado |
|||
| IKEv1 |
Principal |
Ruta |
Sin algoritmo |
grupo14 |
Esp |
aes-256-gcm |
- Configuración de VPN IPsec con autenticación IKE de firma ECDSA en el iniciador
- Configuración de VPN IPsec con autenticación IKE de firma ECDSA en el respondedor
Configuración de VPN IPsec con autenticación IKE de firma ECDSA en el iniciador
Para configurar la autenticación IKE de VPN IPsec con firma ECDSA en el iniciador:
-
Configure la PKI. Consulte Ejemplo: Configurar PKI.
-
Genere el par de claves RSA. Consulte Ejemplo: Generación de un par de claves públicas y privadas.
-
Genere y cargue el certificado de CA. Consulte Ejemplo: Cargar ca y certificados locales manualmente.
-
Cargue la CRL. Consulte Ejemplo: Cargar manualmente una CRL en el dispositivo .
-
Genere y cargue un certificado local. Consulte Ejemplo: Cargar ca y certificados locales manualmente.
-
Configure la propuesta de ICR.
[edit security ike] user@host# set proposal ike-proposal1 authentication-method ecdsa-signatures-256 user@host# set proposal ike-proposal1 dh-group group14 user@host# set proposal ike-proposal1 authentication-algorithm sha-384 user@host# set proposal ike-proposal1 encryption-algorithm aes-256-cbc
Nota:Aquí está
ike-proposal1el nombre de la propuesta de ICR que le dio el administrador autorizado. -
Configure la política de IKE.
[edit security ike] user@host# set policy ike-policy1 mode main user@host# set policy ike-policy1 proposals ike-proposal1 user@host# set policy ike-policy1 certificate local-certificate cert1
-
Configure la propuesta de IPsec.
[edit security ipsec] user@host# set proposal ipsec-proposal1 protocol esp user@host# set proposal ipsec-proposal1 encryption-algorithm aes-256-gcm
Nota:Aquí,
ipsec-proposal1se encuentra el nombre de propuesta IPsec dado por el administrador autorizado. -
Configure la política IPsec.
[edit security ipsec] user@host# set policy ipsec-policy1 perfect-forward-secrecy keys group14 user@host# set policy ipsec-policy1 proposals ipsec-proposal1
Nota:Aquí,
ipsec-policy1es el nombre de la política IPsec yipsec-proposal1es el nombre de propuesta de IPsec que le dio el administrador autorizado. -
Configure IKE.
[edit security ike] user@host# set gateway gw1 ike-policy ike-policy1 user@host# set gateway gw1 address 192.0.2.8 user@host# set gateway gw1 local-identity inet 192.0.2.5 user@host# set gateway gw1 external-interface ge-0/0/2
Nota:Aquí,
gw1es un nombre de puerta de enlace de IKE,192.0.2.8es la IP del punto de conexión VPN par,192.0.2.5es la IP del punto de conexión VPN local yge-0/0/2es una interfaz de salida local como punto de conexión VPN. La siguiente configuración también es necesaria para IKEv2.[edit security ike] user@host# set gateway gw1 version v2-only
-
Configure la VPN.
[edit] user@host# set security ipsec vpn vpn1 ike gateway gw1 user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# set security ipsec vpn vpn1 bind-interface st0.0 user@host# set routing-options static route 192.0.2.10/24 qualified-next-hop st0.0 preference 1
Nota:Aquí está
vpn1el nombre del túnel VPN que le dio el administrador autorizado. -
Configure las políticas de flujo de salida.
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-close
Nota:Aquí,
trustZoneyuntrustZoneson zonas de seguridad preconfiguradas yuntrustLantrustLanson direcciones de red preconfiguradas. -
Configure las políticas de flujo entrante.
[edit security policies] user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application any user@host# set from-zone untrustZone to-zone trustZone policy policy1 then permit user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-close
Nota:Aquí,
trustZoneyuntrustZoneson zonas de seguridad preconfiguradas yuntrustLantrustLanson direcciones de red preconfiguradas. -
Confirme su configuración.
user@host# commit
Configuración de VPN IPsec con autenticación IKE de firma ECDSA en el respondedor
Para configurar una VPN IPsec con autenticación IKE de firma ECDSA en el respondedor:
-
Configure la PKI. Consulte Ejemplo: Configurar PKI.
-
Genere el par de claves ECDSA. Consulte Ejemplo: Generación de un par de claves públicas y privadas.
-
Genere y cargue el certificado de CA. Consulte Ejemplo: Cargar ca y certificados locales manualmente.
-
Cargue la CRL. Consulte Ejemplo: Cargar manualmente una CRL en el dispositivo .
-
Configure la propuesta de ICR.
[edit security ike] user@host# set proposal ike-proposal1 authentication-method ecdsa-signatures-256 user@host# set proposal ike-proposal1 dh-group group14 user@host# set proposal ike-proposal1 authentication-algorithm sha-384 user@host# set proposal ike-proposal1 encryption-algorithm aes-256-cbc
Nota:Aquí está
ike-proposal1el nombre de la propuesta de ICR que le dio el administrador autorizado. -
Configure la política de IKE.
[edit security ike] user@host# set policy ike-policy1 mode main user@host# set policy ike-policy1 proposals ike-proposal1 user@host# set policy ike-policy1 certificate local-certificate cert1
-
Configure la propuesta de IPsec.
[edit security ipsec] user@host# set proposal ipsec-proposal1 protocol esp user@host# set proposal ipsec-proposal1 encryption-algorithm aes-256-gcm
Nota:Aquí,
ipsec-proposal1se encuentra el nombre de propuesta IPsec dado por el administrador autorizado. -
Configure la política IPsec.
[edit security ipsec] user@host# set policy ipsec-policy1 perfect-forward-secrecy keys group14 user@host# set policy ipsec-policy1 proposals ipsec-proposal1
Nota:Aquí,
ipsec-policy1es el nombre de la política IPsec yipsec-proposal1es el nombre de propuesta de IPsec que le dio el administrador autorizado. -
Configure la IKE.
[edit security ike] user@host# set gateway gw1 ike-policy ike-policy1 user@host# set gateway gw1 address 192.0.2.5 user@host# set gateway gw1 local-identity inet 192.0.2.8 user@host# set gateway gw1 external-interface ge-0/0/1
Nota:Aquí,
gw1es un nombre de puerta de enlace de IKE,192.0.2.5es la IP del punto de conexión VPN par,192.0.2.8es la IP del punto de conexión VPN local yge-0/0/1es una interfaz de salida local como punto de conexión VPN. La siguiente configuración también es necesaria para IKEv2.[edit security ike] user@host# set gateway gw1 version v2-only
-
Configure la VPN.
[edit] user@host# set security ipsec vpn vpn1 ike gateway gw1 user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# set security ipsec vpn vpn1 bind-interface st0.0 user@host# set routing-options static route 192.0.2.1/24 qualified-next-hop st0.0 preference 1
Nota:Aquí está
vpn1el nombre del túnel VPN que le dio el administrador autorizado. -
Configure las políticas de flujo de salida.
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-close
Nota:Aquí,
trustZoneyuntrustZoneson zonas de seguridad preconfiguradas yuntrustLantrustLanson direcciones de red preconfiguradas. -
Configure las políticas de flujo entrante.
[edit security policies] user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application any user@host# set from-zone untrustZone to-zone trustZone policy policy1 then permit user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-close
Nota:Aquí,
trustZoneyuntrustZoneson zonas de seguridad preconfiguradas yuntrustLantrustLanson direcciones de red preconfiguradas. -
Confirme su configuración.
user@host# commit
De forma predeterminada, el ID de IKE recibido del par se valida con la dirección IP configurada para la puerta de enlace IKE. En determinadas configuraciones de red, el ID de IKE recibido del par (el ID de IKE puede ser una dirección IPv4 o IPv6, id de correo electrónico, nombre de dominio completo (FQDN) o un nombre distinguido) no coincide con la puerta de enlace IKE configurada en el dispositivo. Esto puede dar lugar a un error de validación de fase 1.
Para configurar el ID de IKE, realice los siguientes pasos:- Configure la instrucción de identidad remota en el nivel de jerarquía de nombre de puerta de enlace de puerta de enlace de ike de seguridad establecido para que coincida con el ID de IKE que se recibe del par. Los valores de ID de IKE pueden ser una dirección IPv4 o una dirección IPv6, id de correo electrónico, FQDN o un nombre distinguido.
- En el dispositivo par, asegúrese de que el ID de IKE sea el mismo que la identidad remota configurada en el dispositivo. Si el dispositivo par es un dispositivo Junos OS, configure la instrucción de identidad local en el nivel de jerarquía de nombre de puerta de enlace de puerta de enlace de ike establecido. Los valores de ID de IKE pueden ser una dirección IPv4 o una dirección IPv6, id de correo electrónico, FQDN o un nombre distinguido.