Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
6 года 11 мес. назад - 6 года 11 мес. назад #44
от PNV
COM_KUNENA_MESSAGE_CREATED_NEW
В данной статье используется оборудование Juniper SRX 240h с версией JunOS 10.4R4.5 и лицензией на 10 Dynamic VPN-соединений. Аутентификация удалённых пользователей осуществляется при помощи RADIUS-сервера, а при его недоступности - локально на Juniper SRX.
Традиционно организация удалённого доступа через VPN осуществляется при помощи клиентского ПО (обычно у каждого вендора своё). В Juniper SRX используется клиентское ПО Juniper Access Manager, которое довольно просто скачивается и устанавливается при помощи WEB-браузера, удалённо зайдя на WEB-интерфейс SRX.
Наиболее распространённый сценарий VPN-доступа в корпоративную сеть - через сеть Internet. Для этого публичный статический IP-адрес должен быть присвоен одному из интерфейсов Juniper SRX, который подключен к сети интернет. После этого удалённый клиент по соответствующему IP-адресу может зайти на WEB-интерфейс SRX, аутентифицироваться, скачать и установить VPN-клиента (Juniper Access Manager).
Процесс установки VPN-соединения следующий:
1. Удалённый пользователь (Клиент) заходит на WEB-страницу аутентификации Juniper SRX по адресу https:// 198.0.0.1 и набирает свой логин и пароль (доменные учётные данные - аутентификация на RADIUS-сервере, либо локальные, т.е. специально созданные учётные данные для Dynamic VPN на Juniper SRX)
2. После успешной аутентификации, сервер (Juniper SRX) определяет установлено ли клиентское ПО на удалённой машине и соответствующая ли версия данного ПО. Если клиентское ПО не установлено, то оно автоматически скачивается с сервера (перед скачиванием снова запрашивается логин и пароль - 1-я фаза установления IPSec-туннеля), устанавливается и запускается на клиентской машине. Далее, после автоматического запуска программы, устанавливается VPN-соединение, при этом снова запрашивается логин и пароль (2-я фаза установления IPSec-туннеля, при использовании xauth - extended authentication):
После успешного установления соединения, клиенту автоматически присваивается IP-адрес из локального пула DHCP (пул создан на SRX, как в текущем примере), либо из DHCP-пула RADIUS-сервера. На этом вторая фаза аутентификации пройдена - IPSec-туннель установлен.
(В дальнейшем, после того как клиентское ПО уже установлено, можно не заходить на WEB-страницу SRX, а сразу запускать установленного клиента с локального компьютера).
Далее рассмотрим по шагам все настройки Juniper SRX:
(Для установления Remote Access VPN обязательно должна использоваться дополнительная аутентификация (xauth), для индивидуальной аутентификации пользователя по паролю и логину, а также для присвоения удалённому клиенту IP-адреса, DNS и т.д. из внутреннего DHCP-пула сервера. Хauth на основе Х.509-сертификатов не поддерживается)
(При настройке Remote Access VPN может использоваться только Policy-Based VPN, т.е. на основе security policy. Route-Based VPN в данном случае не поддерживается, т.е. нельзя применять туннельные интерфейсы st. Подробнее о разнице между Policy-Based VPN и Route-Based VPN можно будет прочитать в следующей статье)
1. Проверяем, есть ли лицензия для Juniper SRX на установление Dynamic VPN соединений:
В данном примере видно, что на устройство SRX установлена лицензия на 10 одновременных Dynamic VPN соединений. (Если лицензия отсутствует - установить Dynamic VPN соединение будет невозможно. Лицензию на данный тип подключения можно приобрести отдельно после покупки маршрутизатора).
2. Проверяем текущую версию JunOS на маршрутизаторе:
Версия JunOS должна быть не раньше версии 10.4. Если версия более ранняя, то в ней отсутствует возможность конфигурации локального DHCP пула для VPN-клиентов, а также изменены некоторые команды по конфигурации VPN.
Как обновить JunOS, можно посмотреть здесь .
3. Настраиваем параметры IKE-туннеля: параметры обмена ключевой информацией, политику обмена ключами и IKE-шлюз (аутентификация и обмен ключами - 1-я фаза установления туннеля):
4. Настраиваем параметры VPN IPSec-туннеля: установление IPSec-туннеля - 2-я фаза установления туннеля.
5. Настраиваем зоны безопасности "Internet" (для сети Интернет) и "trust" (для локальной сети), а также настраиваем политики прохождения трафика для зон Internet и trust:
6. Создаём профиль доступа, который включает в себя параметры xauth, web-аутентификации. Настраиваем параметры dynamic vpn. Также настраиваем DHCP-пул для присвоения адресов из внутренней подсети подключившимся удалённым пользователям.
В случае, если DHCP-пул создается в той же подсети, что и LAN-интерфейс, то нужно прописать nat proxy-arp. Например если DHCP-пул будет от 10.10.10.50 до 10.10.10.100 (адреса из подсети LAN), то нужно дописать строчку:
set security nat proxy-arp interface ge-0/0/1.0 address 10.10.10.50 to 10.10.10.100
7. Для функционирования Dynamic-VPN также необходимо включить WEB https-демон на внешний интерфейс:
Рабочая конфигурация Dynamic VPN:
Традиционно организация удалённого доступа через VPN осуществляется при помощи клиентского ПО (обычно у каждого вендора своё). В Juniper SRX используется клиентское ПО Juniper Access Manager, которое довольно просто скачивается и устанавливается при помощи WEB-браузера, удалённо зайдя на WEB-интерфейс SRX.
Наиболее распространённый сценарий VPN-доступа в корпоративную сеть - через сеть Internet. Для этого публичный статический IP-адрес должен быть присвоен одному из интерфейсов Juniper SRX, который подключен к сети интернет. После этого удалённый клиент по соответствующему IP-адресу может зайти на WEB-интерфейс SRX, аутентифицироваться, скачать и установить VPN-клиента (Juniper Access Manager).
Процесс установки VPN-соединения следующий:
1. Удалённый пользователь (Клиент) заходит на WEB-страницу аутентификации Juniper SRX по адресу https:// 198.0.0.1 и набирает свой логин и пароль (доменные учётные данные - аутентификация на RADIUS-сервере, либо локальные, т.е. специально созданные учётные данные для Dynamic VPN на Juniper SRX)
2. После успешной аутентификации, сервер (Juniper SRX) определяет установлено ли клиентское ПО на удалённой машине и соответствующая ли версия данного ПО. Если клиентское ПО не установлено, то оно автоматически скачивается с сервера (перед скачиванием снова запрашивается логин и пароль - 1-я фаза установления IPSec-туннеля), устанавливается и запускается на клиентской машине. Далее, после автоматического запуска программы, устанавливается VPN-соединение, при этом снова запрашивается логин и пароль (2-я фаза установления IPSec-туннеля, при использовании xauth - extended authentication):
После успешного установления соединения, клиенту автоматически присваивается IP-адрес из локального пула DHCP (пул создан на SRX, как в текущем примере), либо из DHCP-пула RADIUS-сервера. На этом вторая фаза аутентификации пройдена - IPSec-туннель установлен.
(В дальнейшем, после того как клиентское ПО уже установлено, можно не заходить на WEB-страницу SRX, а сразу запускать установленного клиента с локального компьютера).
Далее рассмотрим по шагам все настройки Juniper SRX:
(Для установления Remote Access VPN обязательно должна использоваться дополнительная аутентификация (xauth), для индивидуальной аутентификации пользователя по паролю и логину, а также для присвоения удалённому клиенту IP-адреса, DNS и т.д. из внутреннего DHCP-пула сервера. Хauth на основе Х.509-сертификатов не поддерживается)
(При настройке Remote Access VPN может использоваться только Policy-Based VPN, т.е. на основе security policy. Route-Based VPN в данном случае не поддерживается, т.е. нельзя применять туннельные интерфейсы st. Подробнее о разнице между Policy-Based VPN и Route-Based VPN можно будет прочитать в следующей статье)
1. Проверяем, есть ли лицензия для Juniper SRX на установление Dynamic VPN соединений:
ВНИМАНИЕ: Спойлер!
В данном примере видно, что на устройство SRX установлена лицензия на 10 одновременных Dynamic VPN соединений. (Если лицензия отсутствует - установить Dynamic VPN соединение будет невозможно. Лицензию на данный тип подключения можно приобрести отдельно после покупки маршрутизатора).
2. Проверяем текущую версию JunOS на маршрутизаторе:
ВНИМАНИЕ: Спойлер!
Версия JunOS должна быть не раньше версии 10.4. Если версия более ранняя, то в ней отсутствует возможность конфигурации локального DHCP пула для VPN-клиентов, а также изменены некоторые команды по конфигурации VPN.
Как обновить JunOS, можно посмотреть здесь .
3. Настраиваем параметры IKE-туннеля: параметры обмена ключевой информацией, политику обмена ключами и IKE-шлюз (аутентификация и обмен ключами - 1-я фаза установления туннеля):
ВНИМАНИЕ: Спойлер!
4. Настраиваем параметры VPN IPSec-туннеля: установление IPSec-туннеля - 2-я фаза установления туннеля.
ВНИМАНИЕ: Спойлер!
5. Настраиваем зоны безопасности "Internet" (для сети Интернет) и "trust" (для локальной сети), а также настраиваем политики прохождения трафика для зон Internet и trust:
ВНИМАНИЕ: Спойлер!
6. Создаём профиль доступа, который включает в себя параметры xauth, web-аутентификации. Настраиваем параметры dynamic vpn. Также настраиваем DHCP-пул для присвоения адресов из внутренней подсети подключившимся удалённым пользователям.
ВНИМАНИЕ: Спойлер!
В случае, если DHCP-пул создается в той же подсети, что и LAN-интерфейс, то нужно прописать nat proxy-arp. Например если DHCP-пул будет от 10.10.10.50 до 10.10.10.100 (адреса из подсети LAN), то нужно дописать строчку:
set security nat proxy-arp interface ge-0/0/1.0 address 10.10.10.50 to 10.10.10.100
7. Для функционирования Dynamic-VPN также необходимо включить WEB https-демон на внешний интерфейс:
ВНИМАНИЕ: Спойлер!
Рабочая конфигурация Dynamic VPN:
ВНИМАНИЕ: Спойлер!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Forum Login
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)