Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)

Больше
6 года 6 мес. назад - 6 года 6 мес. назад #44 от PNV
PNV создал эту тему: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (J
В данной статье используется оборудование Juniper SRX 240h с версией JunOS 10.4R4.5 и лицензией на 10 Dynamic VPN-соединений. Аутентификация удалённых пользователей осуществляется при помощи RADIUS-сервера, а при его недоступности - локально на Juniper SRX.


Традиционно организация удалённого доступа через VPN осуществляется при помощи клиентского ПО (обычно у каждого вендора своё). В Juniper SRX используется клиентское ПО Juniper Access Manager, которое довольно просто скачивается и устанавливается при помощи WEB-браузера, удалённо зайдя на WEB-интерфейс SRX.

Наиболее распространённый сценарий VPN-доступа в корпоративную сеть - через сеть Internet. Для этого публичный статический IP-адрес должен быть присвоен одному из интерфейсов Juniper SRX, который подключен к сети интернет. После этого удалённый клиент по соответствующему IP-адресу может зайти на WEB-интерфейс SRX, аутентифицироваться, скачать и установить VPN-клиента (Juniper Access Manager).

Процесс установки VPN-соединения следующий:


1. Удалённый пользователь (Клиент) заходит на WEB-страницу аутентификации Juniper SRX по адресу https:// 198.0.0.1 и набирает свой логин и пароль (доменные учётные данные - аутентификация на RADIUS-сервере, либо локальные, т.е. специально созданные учётные данные для Dynamic VPN на Juniper SRX)






2.
После успешной аутентификации, сервер (Juniper SRX) определяет установлено ли клиентское ПО на удалённой машине и соответствующая ли версия данного ПО. Если клиентское ПО не установлено, то оно автоматически скачивается с сервера (перед скачиванием снова запрашивается логин и пароль - 1-я фаза установления IPSec-туннеля), устанавливается и запускается на клиентской машине. Далее, после автоматического запуска программы, устанавливается VPN-соединение, при этом снова запрашивается логин и пароль (2-я фаза установления IPSec-туннеля, при использовании xauth - extended authentication):




После успешного установления соединения, клиенту автоматически присваивается IP-адрес из локального пула DHCP (пул создан на SRX, как в текущем примере), либо из DHCP-пула RADIUS-сервера. На этом вторая фаза аутентификации пройдена - IPSec-туннель установлен.

(В дальнейшем, после того как клиентское ПО уже установлено, можно не заходить на WEB-страницу SRX, а сразу запускать установленного клиента с локального компьютера).


Далее рассмотрим по шагам все настройки Juniper SRX:


(Для установления Remote Access VPN обязательно должна использоваться дополнительная аутентификация (xauth), для индивидуальной аутентификации пользователя по паролю и логину, а также для присвоения удалённому клиенту IP-адреса, DNS и т.д. из внутреннего DHCP-пула сервера. Хauth на основе Х.509-сертификатов не поддерживается)

(При настройке Remote Access VPN может использоваться только Policy-Based VPN, т.е. на основе security policy. Route-Based VPN в данном случае не поддерживается, т.е. нельзя применять туннельные интерфейсы st. Подробнее о разнице между Policy-Based VPN и Route-Based VPN можно будет прочитать в следующей статье)

1. Проверяем, есть ли лицензия для Juniper SRX на установление Dynamic VPN соединений:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

В данном примере видно, что на устройство SRX установлена лицензия на 10 одновременных Dynamic VPN соединений. (Если лицензия отсутствует - установить Dynamic VPN соединение будет невозможно. Лицензию на данный тип подключения можно приобрести отдельно после покупки маршрутизатора).


2. Проверяем текущую версию JunOS на маршрутизаторе:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

Версия JunOS должна быть не раньше версии 10.4. Если версия более ранняя, то в ней отсутствует возможность конфигурации локального DHCP пула для VPN-клиентов, а также изменены некоторые команды по конфигурации VPN.

Как обновить JunOS, можно посмотреть здесь .

3. Настраиваем параметры IKE-туннеля: параметры обмена ключевой информацией, политику обмена ключами и IKE-шлюз (аутентификация и обмен ключами - 1-я фаза установления туннеля):
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


4. Настраиваем параметры VPN IPSec-туннеля: установление IPSec-туннеля - 2-я фаза установления туннеля.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


5. Настраиваем зоны безопасности "Internet" (для сети Интернет) и "trust" (для локальной сети), а также настраиваем политики прохождения трафика для зон Internet и trust:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


6. Создаём профиль доступа, который включает в себя параметры xauth, web-аутентификации. Настраиваем параметры dynamic vpn. Также настраиваем DHCP-пул для присвоения адресов из внутренней подсети подключившимся удалённым пользователям.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

В случае, если DHCP-пул создается в той же подсети, что и LAN-интерфейс, то нужно прописать nat proxy-arp. Например если DHCP-пул будет от 10.10.10.50 до 10.10.10.100 (адреса из подсети LAN), то нужно дописать строчку:
set security nat proxy-arp interface ge-0/0/1.0 address 10.10.10.50 to 10.10.10.100

7. Для функционирования Dynamic-VPN также необходимо включить WEB https-демон на внешний интерфейс:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


Рабочая конфигурация Dynamic VPN:
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]
Вложения:
Последнее редактирование: 6 года 6 мес. назад от PNV.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 2 мес. назад #76 от Sergey_Z
Sergey_Z ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SR
Здравствуйте
У нас возникла Следующая проблема. Мы пытаемся создать динамическое VPN подключение к Juniper SRX240 Из
внешнего мира во внутрь сети В нутри сети испольуется несколько интерфейсов со своими подсетями и зонами
(ge-0/0/15 trust, ge-0/0/5 trust99, ge-0/0/4 trust210, ge-0/0/3 trust110)
С помощью хелпа мы смогли построить VPN соединение с зоной Trust, но у нас не получается получить соединение
с другими зонами trust210 или trust99. Есть ли какой нибудь способ решить эту проблему.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 2 мес. назад #77 от PNV
PNV ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SR
Добрый день.

1) Политики межзонные создали для VPN-доступа пользователей: from-zone Internet to-zone trust99 и from-zone Internet to-zone trust210, а также from-zone trust99 to-zone Internet и from-zone trust210 to-zone Internet ?

2) в профиле в remote-protected-resources все нужные подсети прописали?


Если всё это уже прописано, то можно конфиг в студию?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 2 мес. назад #97 от Sergey_Z
Sergey_Z ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SR
Укажите на какой адрес высылать конфиг, в форум как то бы не хотелось

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 2 мес. назад #98 от PNV
PNV ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SR
почта Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

кофиг бы выложили на форум, "белые" IP-адреса затёрли и всё.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
5 года 7 мес. назад #110 от rgarazd
rgarazd ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SR
Да лучше бы сюда в форум конфиг, а то так juniper в отличии от cisco, (по которой очень много инфы по настройе) мы еще очень долго будем изучать...

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум