Visión general
Esta configuración es más segura, ya que le permite usar el mismo nombre de usuario y contraseña que su inicio de sesión de dominio, así como cambiar o recuperar sus credenciales sin interactuar con el administrador del firewall. También agrega menos carga de trabajo al administrador, ya que la contraseña debe cambiarse con frecuencia. Recomendamos que utilice esta configuración para autenticar al usuario.
Suponemos que completó la configuración básica de los firewalls de la serie SRX, incluidas las interfaces, las zonas y las políticas de seguridad, como se muestra en la Figura 1.
Figura 1: Topología
Para obtener más información acerca de los requisitos previos, consulte Requisitos del sistema.
Debe asegurarse de que el firewall serie SRX usa un certificado firmado o autofirmado en lugar del certificado predeterminado generado por el sistema. Antes de comenzar a configurar Juniper Secure Connect, debe enlazar el certificado al firewall serie SRX mediante la ejecución del siguiente comando:
user@host# set system services web-management https pki-local-certificate <cert_name>
Por ejemplo:
user@host# set system services web-management https pki-local-certificate SRX_Certificate
Donde SRX_Certificate es el certificado obtenido de CA o un certificado autofirmado.
Configuración rápida de CLI
Para configurar rápidamente este ejemplo en sus firewalls serie SRX, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].
[edit]
user@host#
set security ike proposal JUNIPER_SECURE_CONNECT authentication-method pre-shared-keys
set security ike proposal JUNIPER_SECURE_CONNECT dh-group group19
set security ike proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
set security ike proposal JUNIPER_SECURE_CONNECT lifetime-seconds 28800
set security ike policy JUNIPER_SECURE_CONNECT mode aggressive
set security ike policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
set security ike policy JUNIPER_SECURE_CONNECT pre-shared-key ascii-text "$9$yYJeMXVwgUjq7-jqmfn6rev"
set security ike gateway JUNIPER_SECURE_CONNECT dynamic hostname ra.example.com
set security ike gateway JUNIPER_SECURE_CONNECT dynamic ike-user-type group-ike-id
set security ike gateway JUNIPER_SECURE_CONNECT ike-policy JUNIPER_SECURE_CONNECT
set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection optimized
set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection interval 10
set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
set security ike gateway JUNIPER_SECURE_CONNECT version v1-only
set security ike gateway JUNIPER_SECURE_CONNECT aaa access-profile Juniper_Secure_Connect
set security ike gateway JUNIPER_SECURE_CONNECT tcp-encap-profile SSL-VPN
set security ike gateway JUNIPER_SECURE_CONNECT external-interface ge-0/0/0
set security ike gateway JUNIPER_SECURE_CONNECT local-address 192.0.2.0
set security ipsec proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
set security ipsec proposal JUNIPER_SECURE_CONNECT lifetime-seconds 3600
set security ipsec policy JUNIPER_SECURE_CONNECT perfect-forward-secrecy keys group19
set security ipsec policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
set security ipsec vpn JUNIPER_SECURE_CONNECT bind-interface st0.0
set security ipsec vpn JUNIPER_SECURE_CONNECT ike gateway JUNIPER_SECURE_CONNECT
set security ipsec vpn JUNIPER_SECURE_CONNECT ike ipsec-policy JUNIPER_SECURE_CONNECT
set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 local-ip 0.0.0.0/0
set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 remote-ip 0.0.0.0/0
set security remote-access profile ra.example.com ipsec-vpn JUNIPER_SECURE_CONNECT
set security remote-access profile ra.example.com access-profile Juniper_Secure_Connect
set security remote-access profile ra.example.com client-config JUNIPER_SECURE_CONNECT
set security remote-access profile ra.example.com options multi-access
set security remote-access client-config JUNIPER_SECURE_CONNECT connection-mode manual
set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection interval 60
set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet network 192.168.2.0/24
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range low 192.168.2.11
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range high 192.168.2.100
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-dns 10.8.8.8/32
set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-wins 192.168.4.10/32
set access profile Juniper_Secure_Connect authentication-order radius
set access profile Juniper_Secure_Connect address-assignment pool Juniper_Secure_Connect_Addr-Pool
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 port 1812
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 secret "$9$JSUi.QF/0BEP5BEcyW8ZUj"
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 timeout 5
set access profile Juniper_Secure_Connect radius-server 192.168.3.10 retry 3
set access firewall-authentication web-authentication default-profile Juniper_Secure_Connect
set services ssl termination profile Juniper_SCC-SSL-Term-Profile server-certificate JUNIPER_SECURE_CONNECT(RSA)
set security tcp-encap profile SSL-VPN ssl-profile Juniper_SCC-SSL-Term-Profile
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match source-address any
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match destination-address any
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match application any
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then permit
set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then log session-close
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match source-address any
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match destination-address any
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match application any
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then permit
set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then log session-close
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.0/24
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.0/24
set interfaces st0 unit 0 family inet
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone vpn host-inbound-traffic system-services all
set security zones security-zone vpn host-inbound-traffic protocols all
set security zones security-zone VPN interface st0.0
set security zones security-zone vpn interfaces ge-0/0/1.0
Procedimiento paso a paso
Para configurar la configuración de VPN mediante la interfaz de línea de comandos:
- Inicie sesión en el firewall de la serie SRX con la interfaz de línea de comandos (CLI).
- Ingrese al modo de configuración.
- Configure VPN de acceso remoto.
- Configure la propuesta de ICR.
- Defina el método de autenticación de propuesta de ICR, el grupo Diffie-Hellman y el algoritmo de autenticación.
- Configure claves precompartidas como método de autenticación. Ingrese la clave precompartida en formato ASCII. No admitemos el formato hexadecimal para VPN de acceso remoto.
user@host# set security ike proposal JUNIPER_SECURE_CONNECT authentication-method pre-shared-keys
user@host# set security ike proposal JUNIPER_SECURE_CONNECT dh-group group19
user@host# set security ike proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
user@host# set security ike proposal JUNIPER_SECURE_CONNECT lifetime-seconds 28800
- Configure la política de ICR.
Establezca el modo de política de fase 1 de ICR, referencia a la propuesta de IKE y el método de autenticación de política de fase 1 de IKE.
user@host# set security ike policy JUNIPER_SECURE_CONNECT mode aggressive
user@host# set security ike policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
user@host# set security ike policy JUNIPER_SECURE_CONNECT pre-shared-key ascii-text "$9$yYJeMXVwgUjq7-jqmfn6rev"
- Configure las opciones de puerta de enlace de ICR. Vea dinámica.
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dynamic hostname ra.example.com
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dynamic ike-user-type group-ike-id
user@host# set security ike gateway JUNIPER_SECURE_CONNECT ike-policy JUNIPER_SECURE_CONNECT
Si no configura los valores DPD y la información de versión, Junos OS asigna el valor predeterminado para estas opciones. Vea detección de pares muertos.
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection optimized
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection interval 10
user@host# set security ike gateway JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
user@host# set security ike gateway JUNIPER_SECURE_CONNECT version v1-only
user@host# set security ike gateway JUNIPER_SECURE_CONNECT aaa access-profile Juniper_Secure_Connect
user@host# set security ike gateway JUNIPER_SECURE_CONNECT tcp-encap-profile SSL-VPN
Configure la dirección IP de interfaz externa para que los clientes se conecten. Debe introducir esta misma dirección IP (en este ejemplo: https://192.0.2.0/) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect. Consulte puerta de enlace.
user@host# set security ike gateway JUNIPER_SECURE_CONNECT external-interface ge-0/0/0
user@host# set security ike gateway JUNIPER_SECURE_CONNECT local-address 192.0.2.0
- Configure la propuesta de IPsec.
user@host# set security ipsec proposal JUNIPER_SECURE_CONNECT encryption-algorithm aes-256-gcm
user@host# set security ipsec proposal JUNIPER_SECURE_CONNECT lifetime-seconds 3600
- Configure la política de IPsec.
- Especifique PFS de fase 2 IPsec para usar el grupo Diffie-Hellman 19.
- Especifique la referencia de propuesta de fase 2 de IPsec.
user@host# set security ipsec policy JUNIPER_SECURE_CONNECT perfect-forward-secrecy keys group19
user@host# set security ipsec policy JUNIPER_SECURE_CONNECT proposals JUNIPER_SECURE_CONNECT
- Configure los parámetros VPN IPsec. Consulte VPN (seguridad).
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT bind-interface st0.0
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT ike gateway JUNIPER_SECURE_CONNECT
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT ike ipsec-policy JUNIPER_SECURE_CONNECT
- Configure los selectores de tráfico vpn. Consulte selector de tráfico.
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 local-ip 0.0.0.0/0
user@host# set security ipsec vpn JUNIPER_SECURE_CONNECT traffic-selector ts-1 remote-ip 0.0.0.0/0
- Configure las opciones de cliente de usuario remoto.
- Configure el perfil de acceso remoto. Consulte acceso remoto.
user@host# set security remote-access profile ra.example.com ipsec-vpn JUNIPER_SECURE_CONNECT
user@host# set security remote-access profile ra.example.com access-profile Juniper_Secure_Connect
user@host# set security remote-access profile ra.example.com client-config JUNIPER_SECURE_CONNECT
- Configure el acceso de usuario de varios dispositivos para ases remotos.
Para configurar el acceso de usuario de varios dispositivos, asegúrese de que se cumplen los siguientes requisitos previos:
-
Se admite la versión del cliente de Secure Connect.
-
Cada uno de los dispositivos remotos (computadoras o dispositivos inteligentes) tiene un nombre de host único.
-
Para reducir el consumo de licencias, puede configurar opciones de tiempo de espera inactivo mediante set security ipsec vpn vpn-nameike idle-time
el comando para desconectar conexiones inactivas.
-
Solo group-ike-idadmite .
Puede borrar todas las asociaciones de ICR de un usuario mediante el comando clear security ike active-peer aaa-username user-name
.
La función de acceso de usuario de varios dispositivos no funciona con la asignación de direcciones estáticas mediante el atributo de radio Framed-IP-Address. La primera conexión del usuario se establecerá correctamente y el descanso podría fallar.
La asignación estática de direcciones mediante el proceso authd dará una dirección IP configurada para la primera conexión del usuario y para la posterior conexión que da ip gratuita desde el grupo mediante el set access address-assignment pool family [inet|inet6] host ip-address user-name
comando.
user@host# set security remote-access profile ra.example.com options multi-access
- Configure la configuración del cliente de acceso remoto. Consulte configuración del cliente.
user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT connection-mode manual
user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection interval 60
user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT dead-peer-detection threshold 5
En la tabla 1 se resumen las opciones de configuración del usuario remoto.
Tabla 1: Opciones de configuración de usuario remoto
Configuración de usuario remoto |
Descripción |
modo de conexión |
Para establecer la conexión del cliente de forma manual o automática, configure la opción adecuada.
-
Si configura la opción manual , en la aplicación Juniper Secure Connect, para establecer una conexión, debe hacer clic en el botón de alternar o seleccionar Conexión > Conectar en el menú.
-
Si configura la opción Always , Juniper Secure Connect establece automáticamente la conexión.
Limitación conocida: Dispositivo Android: si usa o selecciona Siempre, la configuración se descarga desde el primer dispositivo SRX utilizado. Si la primera configuración del firewall serie SRX cambia o si se conecta a un nuevo dispositivo SRX, la configuración no se descarga a la aplicación Juniper Secure Connect. Esto significa que una vez que se conecta en el modo Siempre con el dispositivo Android, cualquier cambio de configuración en el firewall serie SRX no tendrá efecto en Juniper Secure Connect. |
detección de pares muertos |
La detección de pares muertos (DPD) está habilitada de forma predeterminada para permitir que el cliente detecte si el firewall de la serie SRX es accesible y, si el dispositivo no es accesible, desactive la conexión hasta que se restablezca la accesibilidad. |
perfil predeterminado |
Si configura un perfil de conexión VPN como perfil predeterminado, debe ingresar solo la dirección de puerta de enlace en la aplicación Juniper Secure Connect. Es opcional ingresar el nombre del reino en la aplicación Juniper Secure Connect, ya que la aplicación selecciona automáticamente el perfil predeterminado como nombre de dominio. En este ejemplo, escriba ra.example.com en el campo Dirección de puerta de enlace de la aplicación Juniper Secure Connect.
Nota:
A partir de Junos OS versión 23.1R1, hemos ocultado la default-profile opción en el nivel de jerarquía [].edit security remote-access En versiones anteriores a Junos OS versión 23.1R1, utilice esta opción para especificar uno de los perfiles de acceso remoto como perfil predeterminado en Juniper Secure Connect. Pero con los cambios en el formato de los nombres de perfil de acceso remoto, ya no necesitamos la default-profile opción.
Hemos desusado default-profile la opción (en lugar de eliminarla de inmediato) para proporcionar compatibilidad con versiones anteriores y una oportunidad de hacer que su configuración existente se ajuste a la configuración modificada. Recibirá un mensaje de advertencia si continúa utilizando la opción en su default-profile configuración. Sin embargo, las implementaciones existentes no se verán afectadas si modifica la configuración actual. Consulte el perfil predeterminado (Juniper Secure Connect).
|
- Configure la puerta de enlace local.
- Cree un conjunto de direcciones para la asignación de IP dinámica del cliente. Consulte asignación de direcciones (acceso).
-
Escriba la dirección de red que utilice para la asignación de direcciones.
-
Ingrese su dirección de servidor DNS. Escriba los detalles del servidor WINS, si es necesario. Cree el intervalo de direcciones para asignar direcciones IP a los clientes.
-
Escriba el nombre y los límites inferiores y superiores.
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet network 192.168.2.0/24
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range low 192.168.2.11
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet range Range high 192.168.2.100
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-dns 10.8.8.8/32
user@host# set access address-assignment pool Juniper_Secure_Connect_Addr-Pool family inet xauth-attributes primary-wins 192.168.4.10/32
- Cree un perfil de acceso.
Para la autenticación de usuario externo, proporcione la dirección IP del servidor Radius, el secreto de Radius y la dirección de origen para las comunicaciones de radio desde las que se origen. Configure el radio para el orden de autenticación.
user@host# set access profile Juniper_Secure_Connect authentication-order radius
user@host# set access profile Juniper_Secure_Connect address-assignment pool Juniper_Secure_Connect_Addr-Pool
user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 port 1812
user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 secret "$9$JSUi.QF/0BEP5BEcyW8ZUj"
user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 timeout 5
user@host# set access profile Juniper_Secure_Connect radius-server 192.168.3.10 retry 3
user@host# set access firewall-authentication web-authentication default-profile Juniper_Secure_Connect
- Cree un perfil de terminación SSL. La terminación SSL es un proceso en el que los firewalls serie SRX actúan como un servidor proxy SSL y terminan la sesión SSL desde el cliente. Escriba el nombre del perfil de terminación SSL y seleccione el certificado de servidor que utilice para la terminación SSL en los firewalls serie SRX. El certificado de servidor es un identificador de certificado local. Los certificados de servidor se utilizan para autenticar la identidad de un servidor.
user@host# set services ssl termination profile Juniper_SCC-SSL-Term-Profile server-certificate JUNIPER_SECURE_CONNECT(RSA)
- Cree un perfil de VPN SSL. Consulte tcp-encap.
user@host# set security tcp-encap profile SSL-VPN ssl-profile Juniper_SCC-SSL-Term-Profile
- Cree políticas de firewall.
Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match source-address any
user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match destination-address anyuser@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 match application any
user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then permit
user@host# set security policies from-zone trust to-zone VPN policy JUNIPER_SECURE_CONNECT-1 then log session-close
Cree la política de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match source-address any
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match destination-address any
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 match application any
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then permit
user@host# set security policies from-zone VPN to-zone trust policy JUNIPER_SECURE_CONNECT-2 then log session-close
- Configure la información de interfaz Ethernet.
user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.0/24
user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.0/24
Configure la interfaz st0 con la familia establecida como inet.
user@host# set interfaces st0 unit 0 family inet
- Configure zonas de seguridad.
user@host# set security zones security-zone trust host-inbound-traffic system-services all
user@host# set security zones security-zone trust host-inbound-traffic protocols all
user@host# set security zones security-zone trust interfaces ge-0/0/0.0
user@host# set security zones security-zone vpn host-inbound-traffic system-services all
user@host# set security zones security-zone vpn host-inbound-traffic protocols all
user@host# set security zones security-zone VPN interface st0.0
user@host# set security zones security-zone vpn interfaces ge-0/0/1.0
- La configuración de acceso remoto con usuario remoto y puerta de enlace local se configura correctamente.
- Inicie la aplicación Juniper Secure Connect y proporcione la misma dirección IP que configuró para la dirección IP externa en el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.
En este ejemplo, configuró 192.0.2.0 como la dirección IP de interfaz externa para que los clientes se conecten. Debe ingresar esta misma dirección IP (192.0.2.0) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.
Resultado
Desde el modo operativo, ingrese los comandos , show access
y show services
para confirmar su show security
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host> show security
ike {
proposal JUNIPER_SECURE_CONNECT {
authentication-method pre-shared-keys;
dh-group group19;
encryption-algorithm aes-256-gcm;
lifetime-seconds 28800;
}
policy JUNIPER_SECURE_CONNECT {
mode aggressive;
proposals JUNIPER_SECURE_CONNECT;
pre-shared-key ascii-text "$9$oWZDk5Qnp0I.P0IEcvMaZU"; ## SECRET-DATA
}
gateway JUNIPER_SECURE_CONNECT {
ike-policy JUNIPER_SECURE_CONNECT;
dynamic {
hostname ra.example.com;
ike-user-type group-ike-id;
}
dead-peer-detection {
optimized;
interval 10;
threshold 5;
}
external-interface ge-0/0/1;
aaa {
access-profile Juniper_Secure_Connect;
}
version v1-only;
tcp-encap-profile SSL-VPN;
}
}
ipsec {
proposal JUNIPER_SECURE_CONNECT {
encryption-algorithm aes-256-gcm;
lifetime-seconds 3600;
}
policy JUNIPER_SECURE_CONNECT {
perfect-forward-secrecy {
keys group19;
}
proposals JUNIPER_SECURE_CONNECT;
}
vpn JUNIPER_SECURE_CONNECT {
bind-interface st0.0;
ike {
gateway JUNIPER_SECURE_CONNECT;
ipsec-policy JUNIPER_SECURE_CONNECT;
}
traffic-selector ts-1 {
local-ip 0.0.0.0/0;
remote-ip 0.0.0.0/0;
}
}
}
remote-access {
profile ra.example.com {
ipsec-vpn JUNIPER_SECURE_CONNECT;
access-profile Juniper_Secure_Connect;
client-config JUNIPER_SECURE_CONNECT;
}
client-config JUNIPER_SECURE_CONNECT {
connection-mode manual;
dead-peer-detection {
interval 60;
threshold 5;
}
}
}
policies {
from-zone trust to-zone VPN {
policy JUNIPER_SECURE_CONNECT-1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-close;
}
}
}
}
from-zone VPN to-zone trust {
policy JUNIPER_SECURE_CONNECT-2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-close;
}
}
}
}
}
tcp-encap {
profile SSL-VPN {
ssl-profile Juniper_SCC-SSL-Term-Profile;
}
}
[edit]
user@host> show access
access {
profile Juniper_Secure_Connect {
authentication-order radius;
address-assignment {
pool Juniper_Secure_Connect_Addr-Pool;
}
radius-server {
192.168.3.10 {
port 1812;
secret "$9$JSUi.QF/0BEP5BEcyW8ZUj"; ## SECRET-DATA
timeout 5;
retry 3;
}
}
}
address-assignment {
pool Juniper_Secure_Connect_Addr-Pool {
family inet {
network 192.168.2.0/24;
range Range {
low 192.168.2.11;
high 192.168.2.100;
}
xauth-attributes {
primary-dns 10.8.8.8/32;
primary-wins 192.168.4.10/32;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile Juniper_Secure_Connect;
}
}
}
[edit]
user@host> show services
ssl {
termination {
profile Juniper_SCC-SSL-Term-Profile {
server-certificate JUNIPER_SECURE_CONNECT(RSA);
}
}
}
Asegúrese de que ya tiene un certificado de servidor para adjuntar con el perfil de terminación SSL.
[edit]
user@host> show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.0/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 198.51.100.0/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host> show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
ge-0/0/1.0;
}
}
Cuando termine de configurar la función en el dispositivo, ingrese confirmación desde el modo de configuración.