- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
9 года 9 мес. назад #111
от RIP
RIP ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
Коллеги, подскажите в чём была причина? У меня аналогичная ситуация - найденное решение бы пригодилось!
Пожалуйста Войти , чтобы присоединиться к беседе.
Меньше
Больше
- Сообщений: 50
- Спасибо получено: 15
9 года 9 мес. назад #112
от PNV
PNV ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
Самая вероятная причина - не настроены соответствующие межзонные политики,а также возможно политики в пределах одной зоны, например: security policy from zone trust to-zone trust.
Пожалуйста Войти , чтобы присоединиться к беседе.
9 года 9 мес. назад #113
от RIP
RIP ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
Благодарю за ответ! Так и оказалось! Донастроил - теперь вроде завелось, выяснилось что VPN клиент PULSE работает стабильнее родного Access Manager.
Не поможете ещё с одним вопросом - с удаленного рабочего места ping до нужного внутреннего ресурса идёт без проблем, а пытаюсь подцепиться к этому адресу через SSH, или telnet - не конектится. Вроде везде, где надо SSH разрешил, может правда упустил где то, но пока сам не вижу где.
Не поможете ещё с одним вопросом - с удаленного рабочего места ping до нужного внутреннего ресурса идёт без проблем, а пытаюсь подцепиться к этому адресу через SSH, или telnet - не конектится. Вроде везде, где надо SSH разрешил, может правда упустил где то, но пока сам не вижу где.
Пожалуйста Войти , чтобы присоединиться к беседе.
Меньше
Больше
- Сообщений: 50
- Спасибо получено: 15
9 года 9 мес. назад #114
от PNV
PNV ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
В чём заключается наибольшая стабильность PULSE в отличии от Access Manager? У меня Manager пока ни разу не "отваливался".
1) Смотрим на политику прохождения трафика из Интернет в локальную сеть:
from-zone Internet to-zone trust { #создаём политику для прохождения трафика из Интернет в локальную сеть (Пропускаем только туннельный трафик, причём для конкретного VPN-туннеля с названием "VPN-Users", который мы создали ранее в контексте "security ipsec vpn". Всё остальное по умолчанию закрыто). Добавляем application ssh и icmp, или any.
policy VPN-Access {
match {
source-address any;
destination-address LAN;
application [ junos-ssh junos-icmp-all ];
}
then {
permit {
tunnel {
ipsec-vpn VPN-Users;
2) Не забываем правильно указывать remote-protected-resources и ipsec-vpn шлюз:
security {
dynamic-vpn {
access-profile VPN-Clients; #создаём dynamic vpn и присваиваем ему профиль доступа с названием "VPN-Clients" (см.ниже access profile)
clients { #в параметрах dynamic vpn создаём clients VPN-test-users (группа настроек параметров туннеля, которая включает в себя параметры сетей для шифрования - "remote-protected-resources", пользователей которые должны входить в данную vpn-группу - "user test", и какой ipsec vpn шлюз будет применен для данной группы - "ipsec-vpn VPN-Users" см.п.4)
VPN-test-users {
remote-protected-resources { #указываем сеть для туннеля
10.10.10.0/8;
}
remote-exceptions { #исключаем из туннеля все остальные сети
0.0.0.0/0;
}
ipsec-vpn VPN-Users; #указываем какой из ранее созданных VPN-шлюзов будет применен для данной dynamic-vpn группы
user { #указываем какие пользователи могут входить в данную dynamic-vpn группу
test;
}
}
Если действительно с настройками всё в порядке, то попробуйте снова пройти аутентификацию ч/з WEB-интерфейс juniper. Иногда бывают глюки с профилем для Remote VPN, когда политика доступа (security policy) меняется (т.е. имя политики остается такое же, а порты для доступа добавляются). При аутентификации ч/з WEB локальный профиль доступа на железке (файл) обновляется и применяются нужные добавленные настройки доступа.
1) Смотрим на политику прохождения трафика из Интернет в локальную сеть:
from-zone Internet to-zone trust { #создаём политику для прохождения трафика из Интернет в локальную сеть (Пропускаем только туннельный трафик, причём для конкретного VPN-туннеля с названием "VPN-Users", который мы создали ранее в контексте "security ipsec vpn". Всё остальное по умолчанию закрыто). Добавляем application ssh и icmp, или any.
policy VPN-Access {
match {
source-address any;
destination-address LAN;
application [ junos-ssh junos-icmp-all ];
}
then {
permit {
tunnel {
ipsec-vpn VPN-Users;
2) Не забываем правильно указывать remote-protected-resources и ipsec-vpn шлюз:
security {
dynamic-vpn {
access-profile VPN-Clients; #создаём dynamic vpn и присваиваем ему профиль доступа с названием "VPN-Clients" (см.ниже access profile)
clients { #в параметрах dynamic vpn создаём clients VPN-test-users (группа настроек параметров туннеля, которая включает в себя параметры сетей для шифрования - "remote-protected-resources", пользователей которые должны входить в данную vpn-группу - "user test", и какой ipsec vpn шлюз будет применен для данной группы - "ipsec-vpn VPN-Users" см.п.4)
VPN-test-users {
remote-protected-resources { #указываем сеть для туннеля
10.10.10.0/8;
}
remote-exceptions { #исключаем из туннеля все остальные сети
0.0.0.0/0;
}
ipsec-vpn VPN-Users; #указываем какой из ранее созданных VPN-шлюзов будет применен для данной dynamic-vpn группы
user { #указываем какие пользователи могут входить в данную dynamic-vpn группу
test;
}
}
Если действительно с настройками всё в порядке, то попробуйте снова пройти аутентификацию ч/з WEB-интерфейс juniper. Иногда бывают глюки с профилем для Remote VPN, когда политика доступа (security policy) меняется (т.е. имя политики остается такое же, а порты для доступа добавляются). При аутентификации ч/з WEB локальный профиль доступа на железке (файл) обновляется и применяются нужные добавленные настройки доступа.
Пожалуйста Войти , чтобы присоединиться к беседе.
8 года 8 мес. назад #160
от renut
renut ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
Добрый день
Настроил по вышеописанному мануалу впн подключение. С ноута подключаюсь через Pulse ip-адрес выдает из заданного пула но только маска вместо заданной /24 стоит /32, соответственно ни одного хоста в сети не вижу. В чем может быть причина этого?
Настроил по вышеописанному мануалу впн подключение. С ноута подключаюсь через Pulse ip-адрес выдает из заданного пула но только маска вместо заданной /24 стоит /32, соответственно ни одного хоста в сети не вижу. В чем может быть причина этого?
Пожалуйста Войти , чтобы присоединиться к беседе.
Меньше
Больше
- Сообщений: 50
- Спасибо получено: 15
8 года 8 мес. назад #161
от PNV
PNV ответил в теме Re: Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)
Покажите ipconfig /all и route print. Скорее всего дело не маске, а в том что неправильно прописаны межзонные политики. Внимательно просмотрите политики ещё раз. Конфиг покажите..
Пожалуйста Войти , чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)