- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
9 года 2 мес. назад - 9 года 2 мес. назад #44
от PNV
COM_KUNENA_MESSAGE_CREATED_NEW
В данной статье используется оборудование Juniper SRX 240h с версией JunOS 10.4R4.5 и лицензией на 10 Dynamic VPN-соединений. Аутентификация удалённых пользователей осуществляется при помощи RADIUS-сервера, а при его недоступности - локально на Juniper SRX.
Традиционно организация удалённого доступа через VPN осуществляется при помощи клиентского ПО (обычно у каждого вендора своё). В Juniper SRX используется клиентское ПО Juniper Access Manager, которое довольно просто скачивается и устанавливается при помощи WEB-браузера, удалённо зайдя на WEB-интерфейс SRX.
Наиболее распространённый сценарий VPN-доступа в корпоративную сеть - через сеть Internet. Для этого публичный статический IP-адрес должен быть присвоен одному из интерфейсов Juniper SRX, который подключен к сети интернет. После этого удалённый клиент по соответствующему IP-адресу может зайти на WEB-интерфейс SRX, аутентифицироваться, скачать и установить VPN-клиента (Juniper Access Manager).
Процесс установки VPN-соединения следующий:
1. Удалённый пользователь (Клиент) заходит на WEB-страницу аутентификации Juniper SRX по адресу https:// 198.0.0.1 и набирает свой логин и пароль (доменные учётные данные - аутентификация на RADIUS-сервере, либо локальные, т.е. специально созданные учётные данные для Dynamic VPN на Juniper SRX)
2. После успешной аутентификации, сервер (Juniper SRX) определяет установлено ли клиентское ПО на удалённой машине и соответствующая ли версия данного ПО. Если клиентское ПО не установлено, то оно автоматически скачивается с сервера (перед скачиванием снова запрашивается логин и пароль - 1-я фаза установления IPSec-туннеля), устанавливается и запускается на клиентской машине. Далее, после автоматического запуска программы, устанавливается VPN-соединение, при этом снова запрашивается логин и пароль (2-я фаза установления IPSec-туннеля, при использовании xauth - extended authentication):
После успешного установления соединения, клиенту автоматически присваивается IP-адрес из локального пула DHCP (пул создан на SRX, как в текущем примере), либо из DHCP-пула RADIUS-сервера. На этом вторая фаза аутентификации пройдена - IPSec-туннель установлен.
(В дальнейшем, после того как клиентское ПО уже установлено, можно не заходить на WEB-страницу SRX, а сразу запускать установленного клиента с локального компьютера).
Далее рассмотрим по шагам все настройки Juniper SRX:
(Для установления Remote Access VPN обязательно должна использоваться дополнительная аутентификация (xauth), для индивидуальной аутентификации пользователя по паролю и логину, а также для присвоения удалённому клиенту IP-адреса, DNS и т.д. из внутреннего DHCP-пула сервера. Хauth на основе Х.509-сертификатов не поддерживается)
(При настройке Remote Access VPN может использоваться только Policy-Based VPN, т.е. на основе security policy. Route-Based VPN в данном случае не поддерживается, т.е. нельзя применять туннельные интерфейсы st. Подробнее о разнице между Policy-Based VPN и Route-Based VPN можно будет прочитать в следующей статье)
1. Проверяем, есть ли лицензия для Juniper SRX на установление Dynamic VPN соединений:
В данном примере видно, что на устройство SRX установлена лицензия на 10 одновременных Dynamic VPN соединений. (Если лицензия отсутствует - установить Dynamic VPN соединение будет невозможно. Лицензию на данный тип подключения можно приобрести отдельно после покупки маршрутизатора).
2. Проверяем текущую версию JunOS на маршрутизаторе:
Версия JunOS должна быть не раньше версии 10.4. Если версия более ранняя, то в ней отсутствует возможность конфигурации локального DHCP пула для VPN-клиентов, а также изменены некоторые команды по конфигурации VPN.
Как обновить JunOS, можно посмотреть здесь .
3. Настраиваем параметры IKE-туннеля: параметры обмена ключевой информацией, политику обмена ключами и IKE-шлюз (аутентификация и обмен ключами - 1-я фаза установления туннеля):
4. Настраиваем параметры VPN IPSec-туннеля: установление IPSec-туннеля - 2-я фаза установления туннеля.
5. Настраиваем зоны безопасности "Internet" (для сети Интернет) и "trust" (для локальной сети), а также настраиваем политики прохождения трафика для зон Internet и trust:
6. Создаём профиль доступа, который включает в себя параметры xauth, web-аутентификации. Настраиваем параметры dynamic vpn. Также настраиваем DHCP-пул для присвоения адресов из внутренней подсети подключившимся удалённым пользователям.
В случае, если DHCP-пул создается в той же подсети, что и LAN-интерфейс, то нужно прописать nat proxy-arp. Например если DHCP-пул будет от 10.10.10.50 до 10.10.10.100 (адреса из подсети LAN), то нужно дописать строчку:
set security nat proxy-arp interface ge-0/0/1.0 address 10.10.10.50 to 10.10.10.100
7. Для функционирования Dynamic-VPN также необходимо включить WEB https-демон на внешний интерфейс:
Рабочая конфигурация Dynamic VPN:
Часть сообщения скрыта для гостей. Пожалуйста, авторизуйтесь или зарегистрируйтесь, чтобы увидеть его.
Традиционно организация удалённого доступа через VPN осуществляется при помощи клиентского ПО (обычно у каждого вендора своё). В Juniper SRX используется клиентское ПО Juniper Access Manager, которое довольно просто скачивается и устанавливается при помощи WEB-браузера, удалённо зайдя на WEB-интерфейс SRX.
Наиболее распространённый сценарий VPN-доступа в корпоративную сеть - через сеть Internet. Для этого публичный статический IP-адрес должен быть присвоен одному из интерфейсов Juniper SRX, который подключен к сети интернет. После этого удалённый клиент по соответствующему IP-адресу может зайти на WEB-интерфейс SRX, аутентифицироваться, скачать и установить VPN-клиента (Juniper Access Manager).
Процесс установки VPN-соединения следующий:
1. Удалённый пользователь (Клиент) заходит на WEB-страницу аутентификации Juniper SRX по адресу https:// 198.0.0.1 и набирает свой логин и пароль (доменные учётные данные - аутентификация на RADIUS-сервере, либо локальные, т.е. специально созданные учётные данные для Dynamic VPN на Juniper SRX)
2. После успешной аутентификации, сервер (Juniper SRX) определяет установлено ли клиентское ПО на удалённой машине и соответствующая ли версия данного ПО. Если клиентское ПО не установлено, то оно автоматически скачивается с сервера (перед скачиванием снова запрашивается логин и пароль - 1-я фаза установления IPSec-туннеля), устанавливается и запускается на клиентской машине. Далее, после автоматического запуска программы, устанавливается VPN-соединение, при этом снова запрашивается логин и пароль (2-я фаза установления IPSec-туннеля, при использовании xauth - extended authentication):
После успешного установления соединения, клиенту автоматически присваивается IP-адрес из локального пула DHCP (пул создан на SRX, как в текущем примере), либо из DHCP-пула RADIUS-сервера. На этом вторая фаза аутентификации пройдена - IPSec-туннель установлен.
(В дальнейшем, после того как клиентское ПО уже установлено, можно не заходить на WEB-страницу SRX, а сразу запускать установленного клиента с локального компьютера).
Далее рассмотрим по шагам все настройки Juniper SRX:
(Для установления Remote Access VPN обязательно должна использоваться дополнительная аутентификация (xauth), для индивидуальной аутентификации пользователя по паролю и логину, а также для присвоения удалённому клиенту IP-адреса, DNS и т.д. из внутреннего DHCP-пула сервера. Хauth на основе Х.509-сертификатов не поддерживается)
(При настройке Remote Access VPN может использоваться только Policy-Based VPN, т.е. на основе security policy. Route-Based VPN в данном случае не поддерживается, т.е. нельзя применять туннельные интерфейсы st. Подробнее о разнице между Policy-Based VPN и Route-Based VPN можно будет прочитать в следующей статье)
1. Проверяем, есть ли лицензия для Juniper SRX на установление Dynamic VPN соединений:
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
root@SRX240> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
av_key_kaspersky_engine 0 1 0 2013-01-01 00:00:00 UTC
anti_spam_key_sbl 0 2 0 2013-01-01 00:00:00 UTC
wf_key_surfcontrol_cpa 0 1 0 2013-01-01 00:00:00 UTC
idp-sig 0 1 0 2013-01-01 00:00:00 UTC
[b]dynamic-vpn 1 10 0 2011-07-25 00:00:00 UTC[/b]
В данном примере видно, что на устройство SRX установлена лицензия на 10 одновременных Dynamic VPN соединений. (Если лицензия отсутствует - установить Dynamic VPN соединение будет невозможно. Лицензию на данный тип подключения можно приобрести отдельно после покупки маршрутизатора).
2. Проверяем текущую версию JunOS на маршрутизаторе:
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
root@SRX240> show version
Hostname: SRX240
Model: srx240h
JUNOS Software Release [10.4R4.5]
Версия JunOS должна быть не раньше версии 10.4. Если версия более ранняя, то в ней отсутствует возможность конфигурации локального DHCP пула для VPN-клиентов, а также изменены некоторые команды по конфигурации VPN.
Как обновить JunOS, можно посмотреть здесь .
3. Настраиваем параметры IKE-туннеля: параметры обмена ключевой информацией, политику обмена ключами и IKE-шлюз (аутентификация и обмен ключами - 1-я фаза установления туннеля):
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
security {
ike {
proposal VPN-Clients {
description VPN-Clients;
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
lifetime-seconds 28800;
}
policy VPN-Clients {
mode aggressive;
description VPN-Clients;
proposals VPN-Clients; #присваиваем политике IKE вышесозданные параметры IKE "VPN-Clients"
pre-shared-key ascii-text "$9$QM4Oz/tEhreK8IEX-VboaUjHmT3/Cu"; ## SECRET-DATA ##Задаём любое значение ключа.
}
}
gateway VPN-Clients {
ike-policy VPN-Clients; #присваиваем IKE-шлюзу политику IKE - "VPN-Clients"
dynamic {
hostname vpn.test; #В нашем случае можно указать любое буквенное значение. Обычно используется для идентификации нужного IKE-шлюза удалённой стороной (при установке dynamic Site-to-Site туннелей).
connections-limit 10; #обязательно нужно указать лимит соединений (не более чем кол-во по лицензии), иначе будет ошибка соединения!
ike-user-type shared-ike-id; #для возможности использования данного IKE-шлюза для нескольких удалённых клиентов одновременно, необходимо указать shared-ike-id или group-ike-id.
}
external-interface ge-0/0/15.0; #обязательно указываем внешний интерфейс, подключенный к сети Интернет, для установления IKE-туннеля
xauth access-profile VPN-Clients; #указываем профиль дополнительной аутентификации для удалённых клиентов.
4. Настраиваем параметры VPN IPSec-туннеля: установление IPSec-туннеля - 2-я фаза установления туннеля.
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
security {
ipsec {
proposal VPN-Clients { #задаём параметры шифрования трафика
description VPN-Clients;
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy VPN-Clients { #создаём политику IPsec
description VPN-Clients;
perfect-forward-secrecy {
keys group2;
}
proposals VPN-Clients; #присваиваем политике IPSec-туннеля вышесозданные параметры шифрования"
}
vpn VPN-Users { #создаём VPN IPSec-шлюз и включаем в него ранее созданные параметры IKE и IPSec.
ike {
gateway VPN-Clients; #ранее созданный IKE-шлюз
idle-time 3600;
ipsec-policy VPN-Clients; #ранее созданная IPSec-политика
}
}
5. Настраиваем зоны безопасности "Internet" (для сети Интернет) и "trust" (для локальной сети), а также настраиваем политики прохождения трафика для зон Internet и trust:
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
interfaces {
ge-0/0/1 {
description LAN;
unit 0 {
family inet {
address 10.10.10.1/24;
}
}
ge-0/0/15 {
description Internet;
unit 0 {
family inet {
address 198.0.0.1/30;
}
}
security {
nat {
source {
rule-set Trust-to-Internet { #NAT для прохождения в интернет пользователей локальной сети
from zone trust;
to zone Internet;
rule ALL {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
zones {
security-zone trust { #зона локальной сети
address-book {
address LAN 10.10.10.0/24; #создаём название "LAN" для локальной подсети в зоне trust
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
interfaces {
ge-0/0/1.0;
}
}
security-zone Internet { #настраиваем зону Интернет
interfaces { #включаем в зону Интернет интерфейс ge-0/0/15
ge-0/0/15.0;
host-inbound-traffic { #и только на этот конкретный интерфейс отрываем доступ из Интернет на порты для установления туннеля: IKE и HTTPS. (ping - не обязательно)
system-services {
ike;
ping;
https;
}
}
}
policies {
from-zone trust to-zone Internet { #создаём политику для прохождения трафика из локальной сети в Интернет (в данном случае весь трафик открыт для прохождения)
policy Default {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone Internet to-zone trust { #создаём политику для прохождения трафика из Интернет в локальную сеть (Пропускаем только туннельный трафик, причём для конкретного VPN-туннеля с названием "VPN-Users", который мы создали ранее в контексте "security ipsec vpn". Всё остальное по умолчанию закрыто).
policy VPN-Access {
match {
source-address any;
destination-address LAN;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-Users;
6. Создаём профиль доступа, который включает в себя параметры xauth, web-аутентификации. Настраиваем параметры dynamic vpn. Также настраиваем DHCP-пул для присвоения адресов из внутренней подсети подключившимся удалённым пользователям.
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
security {
dynamic-vpn {
access-profile VPN-Clients; #создаём dynamic vpn и присваиваем ему профиль доступа с названием "VPN-Clients" (см.ниже access profile)
clients { #в параметрах dynamic vpn создаём clients VPN-test-users (группа настроек параметров туннеля, которая включает в себя параметры сетей для шифрования - "remote-protected-resources", пользователей которые должны входить в данную vpn-группу - "user test", и какой ipsec vpn шлюз будет применен для данной группы - "ipsec-vpn VPN-Users" см.п.4)
VPN-test-users {
remote-protected-resources { #указываем сеть для туннеля
10.10.10.0/8;
}
remote-exceptions { #исключаем из туннеля все остальные сети
0.0.0.0/0;
}
ipsec-vpn VPN-Users; #указываем какой из ранее созданных VPN-шлюзов будет применен для данной dynamic-vpn группы
user { #указываем какие пользователи могут входить в данную dynamic-vpn группу
test;
}
}
access {
profile VPN-Clients { #создаём профиль доступа "VPN-Clients" для xauth и web-аутентификации
authentication-order [ radius password ]; #в качестве сервера аутентификации выступает RADIUS-сервер, а в случае его недоступности - применяется локальная аутентфикация на SRX
client test { #создание пользователя user на случай локальной аутентфикации
firewall-user {
password "$9$7oN2af5Vn6AmfRSylMWZUDk5Q6/tRhrTz"; ## SECRET-DATA
}
}
address-assignment { #присваиваем данному профилю доступа DHCP-пул с названием "VPN-Clients"
pool VPN-Clients;
}
radius-server { #описываем параметры RADIUS-сервера
10.10.10.22 {
port 1812;
secret "$9$2egZj5T36/tP5u1REeK8X7VYoZUH"; ## SECRET-DATA
timeout 10;
retry 3;
source-address 10.10.10.1;
}
}
}
address-assignment {
pool VPN-Clients { #создаём DHCP-пул
family inet {
network 10.10.11.0/24;
range VPN-Clients {
low 10.10.11.50;
high 10.10.11.100;
}
dhcp-attributes {
maximum-lease-time 20000;
domain-name test.vpn;
}
xauth-attributes { #задаём параметры DNS-серверов, которые будут использоваться на клиенте, при подключении его к VPN-серверу. DNS-серверы для VPN-клиентов задаются именно ч/з xauth-attributes. Если задать DNS-серверы ч/з dhcp-attributes - эти DNS-серверы не будут автоматически использоваться при подключении клиента.
primary-dns 10.10.10.10/32;
secondary-dns 10.10.10.11/32;
}
}
}
}
firewall-authentication { #указываем ранее созданный профиль "VPN-Clients" для WEB-аутентификации.
web-authentication {
default-profile VPN-Clients;
В случае, если DHCP-пул создается в той же подсети, что и LAN-интерфейс, то нужно прописать nat proxy-arp. Например если DHCP-пул будет от 10.10.10.50 до 10.10.10.100 (адреса из подсети LAN), то нужно дописать строчку:
set security nat proxy-arp interface ge-0/0/1.0 address 10.10.10.50 to 10.10.10.100
7. Для функционирования Dynamic-VPN также необходимо включить WEB https-демон на внешний интерфейс:
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
system {
web-management {
https {
port 443;
system-generated-certificate;
interface ge-0/0/15.0;
Рабочая конфигурация Dynamic VPN:
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
Часть сообщения скрыта для гостей. Пожалуйста, авторизуйтесь или зарегистрируйтесь, чтобы увидеть его.
Last edit: 9 года 2 мес. назад by PNV.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
8 года 11 мес. назад #76
от Sergey_Z
COM_KUNENA_MESSAGE_REPLIED_NEW
Здравствуйте
У нас возникла Следующая проблема. Мы пытаемся создать динамическое VPN подключение к Juniper SRX240 Из
внешнего мира во внутрь сети В нутри сети испольуется несколько интерфейсов со своими подсетями и зонами
(ge-0/0/15 trust, ge-0/0/5 trust99, ge-0/0/4 trust210, ge-0/0/3 trust110)
С помощью хелпа мы смогли построить VPN соединение с зоной Trust, но у нас не получается получить соединение
с другими зонами trust210 или trust99. Есть ли какой нибудь способ решить эту проблему.
У нас возникла Следующая проблема. Мы пытаемся создать динамическое VPN подключение к Juniper SRX240 Из
внешнего мира во внутрь сети В нутри сети испольуется несколько интерфейсов со своими подсетями и зонами
(ge-0/0/15 trust, ge-0/0/5 trust99, ge-0/0/4 trust210, ge-0/0/3 trust110)
С помощью хелпа мы смогли построить VPN соединение с зоной Trust, но у нас не получается получить соединение
с другими зонами trust210 или trust99. Есть ли какой нибудь способ решить эту проблему.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
8 года 11 мес. назад #77
от PNV
COM_KUNENA_MESSAGE_REPLIED_NEW
Добрый день.
1) Политики межзонные создали для VPN-доступа пользователей: from-zone Internet to-zone trust99 и from-zone Internet to-zone trust210, а также from-zone trust99 to-zone Internet и from-zone trust210 to-zone Internet ?
2) в профиле в remote-protected-resources все нужные подсети прописали?
Если всё это уже прописано, то можно конфиг в студию?
1) Политики межзонные создали для VPN-доступа пользователей: from-zone Internet to-zone trust99 и from-zone Internet to-zone trust210, а также from-zone trust99 to-zone Internet и from-zone trust210 to-zone Internet ?
2) в профиле в remote-protected-resources все нужные подсети прописали?
Если всё это уже прописано, то можно конфиг в студию?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
8 года 11 мес. назад #97
от Sergey_Z
COM_KUNENA_MESSAGE_REPLIED_NEW
Укажите на какой адрес высылать конфиг, в форум как то бы не хотелось
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
8 года 11 мес. назад #98
от PNV
COM_KUNENA_MESSAGE_REPLIED_NEW
почта Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
кофиг бы выложили на форум, "белые" IP-адреса затёрли и всё.
кофиг бы выложили на форум, "белые" IP-адреса затёрли и всё.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
8 года 4 мес. назад #110
от rgarazd
COM_KUNENA_MESSAGE_REPLIED_NEW
Да лучше бы сюда в форум конфиг, а то так juniper в отличии от cisco, (по которой очень много инфы по настройе) мы еще очень долго будем изучать...
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)