Настройка Juniper Dynamic VPN (Remote Access VPN) на оборудовании Juniper SRX (JunOS version 10.4R4.5)


Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.
Больше
8 года 1 мес. назад #111 от RIP
COM_KUNENA_MESSAGE_REPLIED_NEW
Коллеги, подскажите в чём была причина? У меня аналогичная ситуация - найденное решение бы пригодилось!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
8 года 1 мес. назад #112 от PNV
COM_KUNENA_MESSAGE_REPLIED_NEW
Самая вероятная причина - не настроены соответствующие межзонные политики,а также возможно политики в пределах одной зоны, например: security policy from zone trust to-zone trust.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
8 года 1 мес. назад #113 от RIP
COM_KUNENA_MESSAGE_REPLIED_NEW
Благодарю за ответ! Так и оказалось! Донастроил - теперь вроде завелось, выяснилось что VPN клиент PULSE работает стабильнее родного Access Manager.

Не поможете ещё с одним вопросом - с удаленного рабочего места ping до нужного внутреннего ресурса идёт без проблем, а пытаюсь подцепиться к этому адресу через SSH, или telnet - не конектится. Вроде везде, где надо SSH разрешил, может правда упустил где то, но пока сам не вижу где.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
8 года 1 мес. назад #114 от PNV
COM_KUNENA_MESSAGE_REPLIED_NEW
В чём заключается наибольшая стабильность PULSE в отличии от Access Manager? У меня Manager пока ни разу не "отваливался".


1) Смотрим на политику прохождения трафика из Интернет в локальную сеть:

from-zone Internet to-zone trust { #создаём политику для прохождения трафика из Интернет в локальную сеть (Пропускаем только туннельный трафик, причём для конкретного VPN-туннеля с названием "VPN-Users", который мы создали ранее в контексте "security ipsec vpn". Всё остальное по умолчанию закрыто). Добавляем application ssh и icmp, или any.

policy VPN-Access {
match {
source-address any;
destination-address LAN;
application [ junos-ssh junos-icmp-all ];
}
then {
permit {
tunnel {
ipsec-vpn VPN-Users;

2) Не забываем правильно указывать remote-protected-resources и ipsec-vpn шлюз:

security {
dynamic-vpn {
access-profile VPN-Clients; #создаём dynamic vpn и присваиваем ему профиль доступа с названием "VPN-Clients" (см.ниже access profile)
clients { #в параметрах dynamic vpn создаём clients VPN-test-users (группа настроек параметров туннеля, которая включает в себя параметры сетей для шифрования - "remote-protected-resources", пользователей которые должны входить в данную vpn-группу - "user test", и какой ipsec vpn шлюз будет применен для данной группы - "ipsec-vpn VPN-Users" см.п.4)
VPN-test-users {
remote-protected-resources { #указываем сеть для туннеля
10.10.10.0/8;
}
remote-exceptions { #исключаем из туннеля все остальные сети
0.0.0.0/0;
}
ipsec-vpn VPN-Users; #указываем какой из ранее созданных VPN-шлюзов будет применен для данной dynamic-vpn группы
user { #указываем какие пользователи могут входить в данную dynamic-vpn группу
test;

}
}


Если действительно с настройками всё в порядке, то попробуйте снова пройти аутентификацию ч/з WEB-интерфейс juniper. Иногда бывают глюки с профилем для Remote VPN, когда политика доступа (security policy) меняется (т.е. имя политики остается такое же, а порты для доступа добавляются). При аутентификации ч/з WEB локальный профиль доступа на железке (файл) обновляется и применяются нужные добавленные настройки доступа.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
7 года 1 нед. назад #160 от renut
COM_KUNENA_MESSAGE_REPLIED_NEW
Добрый день

Настроил по вышеописанному мануалу впн подключение. С ноута подключаюсь через Pulse ip-адрес выдает из заданного пула но только маска вместо заданной /24 стоит /32, соответственно ни одного хоста в сети не вижу. В чем может быть причина этого?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
7 года 1 нед. назад #161 от PNV
COM_KUNENA_MESSAGE_REPLIED_NEW
Покажите ipconfig /all и route print. Скорее всего дело не маске, а в том что неправильно прописаны межзонные политики. Внимательно просмотрите политики ещё раз. Конфиг покажите..

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум