Configurar una VPN IPsec
Objetivos de diseño de VPN IPSec
Su VPN IPsec debe cumplir con estos criterios:
- Configure una VPN IPsec dinámica para admitir la asignación de dirección DHCP a la interfaz WAN por el proveedor de servicios de Internet.
- Asegúrese de que solo el tráfico que se origina en la zona de confianza pueda usar el túnel IPsec.
- Asegúrese de que solo el tráfico destinado a la subred 172.168.200.0/24 utiliza el túnel IPsec.
| Valor | del parámetro |
|---|---|
| Interfaz de túnel | st0 |
| IP de túnel de sucursal | 10.0.0.1/24 |
| IP de túnel corporativo | 10.0.0.2/24 |
| Propuesta de ICR | Estándar |
| Modo IKE | Agresivo |
| Clave precompartida | "srx_branch" |
| Establecimiento de túneles | Inmediatamente |
| Identidad de la sucursal | Rama |
| Identidad corporativa | Hq |
| Zona de seguridad de túnel | Vpn |
Configurar una VPN IPsec basada en rutas
¡Sigamos y configuremos una VPN IPsec!
- Inicie sesión como raíz en la consola del dispositivo. Inicie la CLI y ingrese al modo de configuración.
login: branch_srx (ttyu0) root@branch_srx% cli root@branch_srx> configure Entering configuration mode [edit] root@branch_srx#
- Configure la interfaz de túnel st0. En este caso, se admite un túnel sin numeración. Aquí, optamos por numerar los puntos finales del túnel. Una ventaja de numerar el túnel es permitir la prueba de ping de los puntos de final del túnel para ayudar a depurar cualquier problema de conectividad.
[edit] root@branch_srx# set interfaces st0 unit 0 family inet address 10.0.0.1/24
- Defina una ruta estática para dirigir el tráfico destinado a 172.16.200.0/24 en el túnel IPsec.
[edit] root@branch_srx# set routing-options static route 172.16.200.0/24 next-hop st0.0
- Configure los parámetros de ICR. Los parámetros de identidad local y remota son importantes para admitir una VPN IPsec dinámica. Cuando se utilizan direcciones IP estáticas, se define una puerta de enlace de IKE local y remota que especifica esas direcciones IP estáticas.
Por cierto, configuraremos las cosas de seguridad un poco para que se estacione en la
[edit security]jerarquía:[edit security] root@branch_srx# set ike proposal standard authentication-method pre-shared-keys root@branch_srx# set ike policy ike-pol mode aggressive root@branch_srx# set ike policy ike-pol proposals standard root@branch_srx# set ike policy ike-pol pre-shared-key ascii-text branch_srx root@branch_srx# set ike gateway ike-gw ike-policy ike-pol root@branch_srx# set ike gateway ike-gw address 172.16.1.1 root@branch_srx# set ike gateway ike-gw local-identity hostname branch root@branch_srx# set ike gateway ike-gw remote-identity hostname hq root@branch_srx# set ike gateway ike-gw external-interface ge-0/0/0
Nota:Para admitir una VPN IPsec dinámica, el extremo remoto debe tener la
set security ike gateway ike-gw dynamic hostname <name>instrucción configurada en la propuesta de IKE. Cuando el extremo remoto inicia una conexión, el nombre se utiliza para coincidir con la propuesta de IKE en lugar de una IP. Este método se utiliza cuando las direcciones IP pueden cambiar debido a la asignación dinámica. - Configure los parámetros de túnel IPsec.
[edit security] root@branch_srx# set ipsec proposal standard root@branch_srx# set ipsec policy ipsec-pol proposals standard root@branch_srx# set ipsec vpn to_hq bind-interface st0.0 root@branch_srx# set ipsec vpn to_hq ike gateway ike-gw root@branch_srx# set ipsec vpn to_hq ike ipsec-policy ipsec-pol root@branch_srx# set ipsec vpn to_hq establish-tunnels immediately
- Ajuste las políticas de seguridad para crear una vpn zona y permitir que el tráfico fluya de la trust zona a la vpn zona. Configuramos la vpn zona para permitir ping encuadernado por host para su uso en la depuración, dado que optamos por numerar nuestro túnel IPsec. En este paso, también se coloca la interfaz de túnel IPsec en la vpn zona.
[edit security] root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn match application any root@branch_srx# set policies from-zone trust to-zone vpn policy trust-to-vpn then permit root@branch_srx# set security zones security-zone vpn host-inbound-traffic system-services ping root@branch_srx# set zones security-zone vpn interfaces st0.0
Nota:En este ejemplo, lo simplificamos y hacemos coincidir con cualquier dirección IP de origen o destino. Nos basamos en la ruta estática para dirigir solo el tráfico destinado al sitio remoto al túnel. Para una mejor seguridad, considere definir entradas de la libreta de direcciones para las subredes 192.168.2.0/24 de la sucursal local y las subredes remotas 172.16.200.0/24. Con las entradas de la libreta de direcciones definidas para las dos subredes, usted coincide en
source-address <source_name>ydestination-address <dest_name>en su política de seguridad. Incluir las subredes de origen y destino en la política hace que sea mucho más explícito en cuanto al tráfico que puede usar el túnel. - Esperen ahí, ya casi han terminado. Recuerde que IKE se utiliza para negociar las claves compartidas para proteger el túnel IPsec. Los mensajes de ICR se deben enviar y recibir a través de la interfaz WAN para establecer el túnel en la interfaz st0.
Deberá modificar los servicios de host local a los que se puede acceder a través de la untrust interfaz WAN para incluir IKE.
[edit security] root@branch_srx# set zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike
Eso es todo. Configuró la VPN basada en rutas IPsec en la ubicación de la sucursal. Asegúrese de confirmar los cambios.
Resultados
Mostraremos el resultado de la configuración de VPN basada en rutas IPsec. Omitimos partes de la configuración predeterminada para mayor brevedad.
[edit]
root@branch-srx# show interfaces st0
unit 0 {
family inet {
address 10.0.0.1/24;
}
}
[edit]
root@branch-srx# show routing-options
static {
route 172.16.200.0/24 next-hop st0.0;
}
ike {
proposal standard {
authentication-method pre-shared-keys;
}
policy ike-pol {
mode aggressive;
proposals standard;
pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39"; ## SECRET-DATA
}
gateway ike-gw {
ike-policy ike-pol;
address 172.16.1.1;
local-identity hostname branch;
remote-identity hostname hq;
external-interface ge-0/0/0;
}
}
ipsec {
proposal standard;
policy ipsec-pol {
proposals standard;
}
vpn to_hq {
bind-interface st0.0;
ike {
gateway ike-gw;
ipsec-policy ipsec-pol;
}
establish-tunnels immediately;
}
}
. . .
policies {
. . .
from-zone trust to-zone vpn {
policy trust-to-vpn {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
..
security-zone untrust {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
. . .
ike;
. . .
}
}
}
}
}
. . .
security-zone vpn {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
st0.0;
}
}
}
Asegúrese de confirmar su configuración para activar los cambios en su SRX.
Configuraciones rápidas
Configuración rápida: Sucursal
Para configurar rápidamente una VPN IPsec, utilice las siguientes set instrucciones. Simplemente edite las instrucciones de configuración según sea necesario para su entorno y péguelas en su SRX.
Esta es la configuración VPN IPsec para el dispositivo de la línea SRX300 en la ubicación de la sucursal:
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$Yj4oGjHmf5FJGi.m56/dVwgZjk.5T39" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw address 172.16.1.1 set security ike gateway ike-gw local-identity hostname branch set security ike gateway ike-gw remote-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/0 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces st0 unit 0 family inet address 10.0.0.1/24 set routing-options static route 172.16.200.0/24 next-hop st0.0
Configuración rápida: ubicación remota
Para obtener integridad, esta es la configuración rápida de VPN IPsec correspondiente para el sitio remoto. Es similar al que detallamos para la sucursal. Las diferencias clave son que usamos la dynamic hostname instrucción y un destino diferente para la ruta estática utilizada para dirigir el tráfico hacia el túnel. Permitimos ping en la vpn zona del sitio remoto. Como resultado, puede hacer ping tanto a los puntos de conexión del túnel (numeramos nuestro túnel), como a la interfaz de circuito cerrado. La interfaz de circuito cerrado en el sitio remoto representa la subred 172.16.200.0/24. La interfaz lo0 del sitio remoto se coloca en la vpn zona.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy ike-pol mode aggressive set security ike policy ike-pol proposals standard set security ike policy ike-pol pre-shared-key ascii-text "$9$1POEhrKMX7NbSrvLXNY2puORyKWLN-wg" set security ike gateway ike-gw ike-policy ike-pol set security ike gateway ike-gw dynamic hostname branch set security ike gateway ike-gw local-identity hostname hq set security ike gateway ike-gw external-interface ge-0/0/6 set security ipsec proposal standard set security ipsec policy ipsec-pol proposals standard set security ipsec vpn to_hq bind-interface st0.0 set security ipsec vpn to_hq ike gateway ike-gw set security ipsec vpn to_hq ike ipsec-policy ipsec-pol set security ipsec vpn to_hq establish-tunnels immediately set security policies from-zone trust to-zone vpn policy trust-to-vpn match source-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match destination-address any set security policies from-zone trust to-zone vpn policy trust-to-vpn match application any set security policies from-zone trust to-zone vpn policy trust-to-vpn then permit set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/6.0 host-inbound-traffic system-services ping set security zones security-zone vpn interfaces st0.0 set security zones security-zone vpn interfaces lo0.0 set security zones security-zone vpn host-inbound-traffic system-services ping set interfaces lo0 unit 0 family inet address 172.16.200.1/32 set interfaces st0 unit 0 family inet address 10.0.0.2/24 set routing-options static route 192.168.2.0/24 next-hop st0.0
Asegúrese de confirmar los cambios. En la siguiente sección, le mostraremos cómo comprobar que su túnel IPsec funciona correctamente.